TR/Agent
 

Hi,
nachdem ich gestern NAchmittag festgestellt habe, dass mein System doch ein wenig langsam ist hab ich AntiVir drüber laufen lassen. Der Scanner hat den Trojaner TR/Agent gefunden und mich gefargt, ob ich die Datei löschen möchte. Das hab ich gemacht. Allerding ist mein System immer noch nicht fit.
Da ich mich mit Trojanerns überhaupt nicht auskenne frag ich hier nach, was ich machen muss um alle Spuren von dem Trojaner von meinem Rechner zu entfernen.
Wäre nett, wenn mir jemand helfen kann.
Gruß Maja

Hallo,

lade und scanne mit eScan AntiVirus wie beschrieben.
Die Virus Log Information von eScan AntiVirus posten:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Danach erstellst du mit HiJackThis ein Log-File und postest es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Hi,
ich habe folgende "tragged" Treffer gefunden:

Thu Oct 07 19:55:53 2004 => File C:\...\iverilog-20030116-setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Oct 07 19:55:53 2004 => File C:\...\iverilog-20030116-setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Oct 07 20:19:41 2004 => File C:\...\iverilog-20030116-setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Oct 07 21:06:41 2004 => File D:\Tools\DiVX Video\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Nachfolgend das Log File:

Logfile of HijackThis v1.98.2
Scan saved at 21:22:05, on 07.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Teledat\IWatch.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\KatyPfeil\Eigene Dateien\Virenprogramm\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freemail.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Edit with &XML Spy - C:\Programme\Altova\XMLSPY2004\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm (HKCU)
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/...14006/thin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 217.237.151.161 217.237.151.33
O17 - HKLM\System\CCS\Services\Tcpip\..\{80DEC981-C907-4AAA-AEE2-13211A8CF2BE}: NameServer = 192.168.121.252,192.168.121.253


Was soll ich jetzt machen?
Gruß maja, die froh ist, dass du ihr hilfst

Fixe dies:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...N14006/thin.cab

Ansonsten schaut es eigentlich sauber aus.


SP2 von XP installieren!

Kleine Frage am Rande: wie fix ich denn so was?

Vor den von mir genannten Einträgen in HijackThis ein Häckchen setzen und dann auf "Fix checked" klicken.

Bei den genannten Einträgen einen Haken setzen und auf Fix Checked klicken.

Vielen lieben Dank euch zwei!!
Könnt ihr mir jetzt auch noch sagen was ich da eigentlich gemacht habe, damit ich beim nächsten Mal weiß was ich zu tun habe?

Hier findest du Hintergrundinformationen: http://www.trojaner-info.de/hijacker/index.shtml
Hier eine Anleitung zu HiJackThis:
http://www.trojaner-board.de/51130-a...ijackthis.html
Hier kannst du dein Log-File automatisch auswerten lassen, aber du solltest dich nicht unbedingt darauf verlassen. Bevor du irgendetwas fixt oder löscht immer zuerst googeln oder in ein Forum wie diesen nachfragen:
www.hijackthis.de

Die Ursache deines eigentlichen Problems solltest du noch angehen:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

btw: Hat der eScan keine "infected" Dateien gemeldet?

Beim Suchen in der Datei nach "infected" kommt das im Dateipfad vor:

Thu Oct 07 20:00:06 2004 => Scanning Folder: C:\...\junit3.8.1\doc\testinfected\*.*

Thu Oct 07 20:00:06 2004 => Scanning File C:\...\junit3.8.1\doc\testinfected\IMG00001.GIF

Thu Oct 07 20:00:06 2004 => Scanning File C:\...\junit3.8.1\doc\testinfected\IMG00002.GIF

Thu Oct 07 20:00:06 2004 => Scanning File C:\...\junit3.8.1\doc\testinfected\IMG00003.GIF

Thu Oct 07 20:00:06 2004 => Scanning File C:\...\junit3.8.1\doc\testinfected\logo.gif

Thu Oct 07 20:00:06 2004 => Scanning File C:\...\junit3.8.1\doc\testinfected\testing.htm

Thu Oct 07 20:35:14 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*


Ich habe keine Ahnung, wei ich zu den "Untieren" gekommen bin, denn ich surfe nur mit Firefox. Windows Updates mach ich schon seit ner Weile nicht mehr, da das über ISDN Leitung so lange dauert.

Die genannten infected Einträge stellen keine Bedrohung dar. ;)

Solltest du aber, weil sicherer.
Dann lade wenigstens immer die Sicherheitspatches runter.

btw: In fast jeder PC Zeitschrift war vor kurzem das SP2 beigelegt. Dies wäre die günstigste Alternative.

Wenn ich am we Zeit dazu finde, werd ich das nachholen.
Ansonsten, vielen Dank für deine Hilfe. :daumenhoc
gute n8

Gern geschehen. ;)

hallo , ich habe mir genau denn gleichen sh*t über msn eingefangen wie maja.

kann mir jemand dabei helfen dieses prob zu fixen?`

mfg Danny

Hallo,

ich glaube, ich habe mir auch diesen Trojaner über den MSN eingefangen.

Hab leider 0-Ahnung, was man machen muss, hab sowieso 0-Ahnung von PC's.

Wäre froh, wenn jemand helfen würde.

Freundliche Grüsse
Simkuk