Battle Hunter

Mein AntiVir meldet die ganze Zeit einen Trojaner, wenn ich im Web surfe.
es kam das erste mal, aber da war es kein Trojaner sondern was mit DR/
am anfang. Jetzt heisst es TR/Drop.Zlob.338199.

Es ist in C:\Users\Emre\AppData\Local\Temp, zuerst war es die datei:
BIT7557.tmp, dann BIT89DA.tmp und schlussendlich BIT2251.tmp.

Ich hab alle in die Quarantäne gesteckt, was soll ich machen, wieso
kommt der immer und was ist das überhaupt?

ReinMan

Mit welchem Browser surfst du ? lösch erstmal deine Cookies.

Lade dir den CCleaner und geh auf "Cleaner" dort klickst du alles an und löscht was er findet. Dann gehst du auf "Registry" und löscht verwaiste Registryeinträge.

http://ccleaner.softonic.de/

Sollte der Schädling dadurch immernoch nicht behoben sein poste uns bitte noch ein Hijackthislogfile ins Forum.

Battle Hunter

Ich surfe mit Opera (auch wenn du das weisst)
Ok, das mach ich mal, dann poste ich noch ein Hijackthislogfile,
der Virus kommt eben unregelmässig.

e/Soll ich diese aus der Quarantäne löschen?

ReinMan

Nein lasse in erstmal in der Quarantäne man weiß ja nie um was es sich genau handelt. Eventuell möchte man später eine Diagnose führen und ihn sich genauer angucken. Wenn du das alles durchgeführt hast und er sich nicht mehr meldet dann löscht du ihn erst.

Doch davor befolge meine Tipps mit dem CCleaner "Registry" und "Cleaner" löscht du alles was er findet und postest ein Logfile.

Battle Hunter

Also ich hab die Tempfiles gelöscht, es waren komischerweise 4236,7MB.
Auch wenn ich jeden zweiten bis dritten Tag die Temps lösche.

Hijackthislogfile:
Logfile of HijackThis v1.99.1
Scan saved at 21:10:11, on 11.02.2008
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\ATI Radeon HD2600 XT\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Sidebar\sidebar.exe
E:\Programme\ATI Radeon HD2600 XT\ATI.ACE\Core-Static\CCC.exe
E:\Programme\Opera Browser\Opera.exe
E:\Programme\ICQ6\ICQ.exe
C:\Windows\system32\taskeng.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Users\Emre\AppData\Local\Temp\Temp1_hijackthis_ 199.zip\HijackThis.exe
E:\Eigene Dateien\Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "E:\Programme\ATI Radeon HD2600 XT\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIA EE.EXE /F "C:\Windows\TEMP\E_S38A5.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{88D470C0-A890-407F-A3FD-82AC7146F3D4}: NameServer = 192.168.11.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O21 - SSODL: bdmnopx - {9340AB28-8BCB-4B7A-A1EB-994D2CAC4DF7} - C:\Windows\bdmnopx.dll
O21 - SSODL: admggxp - {84EB65A1-9E39-4EAC-9FA2-2A249E5AE853} - C:\Windows\admggxp.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - E:\Programme\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Es sind nicht alle Prozesse Autostart.

@ReinMan
ZoneAlarm ist nach deinem Tipp weg, hatte es eh schon vor, das wieder
zu deinstallieren, nachdem mein neuer Router kommt.

Battle Hunter

sry, mein Browser spinnt auch ein wenig.

ReinMan

R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

Die markierst du und gehst auf "Fix check".

Unbekannt
O21 - SSODL: admggxp - {84EB65A1-9E39-4EAC-9FA2-2A249E5AE853} - C:\Windows\admggxp.dll

Unbekannt
O21 - SSODL: bdmnopx - {9340AB28-8BCB-4B7A-A1EB-994D2CAC4DF7} - C:\Windows\bdmnopx.dll

Die beiden werden als unbekannt eingestuft. Suche die DLL´s und lade sie bei www.virustotal.com hoch und lasse sie auswerten.

Taucht denn das Problem weiterhin auf ? hast du das schon mit dem CCleaner versucht wie ich es oben beschrieben habe ?

Battle Hunter

Ja, ich habe mit CCleaner, wie schon gesagt, 4236,7MB entfernt.

e/admggxp.dll ist von 5 Scannern als Adware/Virus erkannt worden.

http://www.virustotal.com/analisis/2...a08be50210fdee

Der andere ist von 8 Scannern als Adware/Trojaner/Spyware erkennt worden.

http://www.virustotal.com/analisis/0...c319244b0bc6f2

e²/Ich kann den Taskmanager seit gestern nicht mehr starten,
das Update für AntiVir kommt auch nicht.

Und manchmal steht ich hätte keine Internetverbindung, aber alle Programme
die mit dem Internet verbunden sind gehen. Was ist da los?

Was soll ich mit den beiden daten machen?

Humdinger

Alle Dateien anzeigen
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Boote nun in den abgesicherten Modus (bei Neustart F8 drücken)

Lösche die beiden direkt im abgesicherten Modus:

C:\Windows\admggxp.dll
C:\Windows\bdmnopx.dll

PC Neustart

AVG ANTISPYWARE ausführen und alle Funde auch löschen.
Report posten

Kaspersky - Virus Removal Tool anwenden. Alle Funde löschen. Report posten

Neuen HijackThis log posten.

Battle Hunter

Man sieht die Daten schon, ich glaube nicht dass das echte Systemdaten sind.

Ok, das mache ich mal, aber ich scanne dann lieber mit Spybot Search&Destroy
und Avira AntiVir.