Home » Viren, Trojaner & Malware Forum » Agobot 104960 worm » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Agobot 104960 worm

09.07.2004, 00:43

glisse

...neu hier

Beiträge: 3

#1 Ich bitte um Hilfe!
Seit Wochen plagt mich der Agobot Wurm, der zwar von AntiVir erkannt und gelöscht wird, aber immer wieder kommt. Heute hat er sich Agobot 104960 genannt, die Zahlen sind aber ständig andere. Vielleicht könnt ihr mir helfen (bitte in einfacher sprache, da ich alles andere als ein Pc experte bin!)
Vielen Dank im vorraus, Ich schicke auch mein hijackthis- Ergebnis mit:

Logfile of HijackThis v1.98.0
Scan saved at 00:28:53, on 09.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Webroot\Accelerate\accelerate2002.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\PowerQuest\DataKeeper 5.0\DataKeeper.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
G:\BackUp_230504\Virus\HijackThis\HijackThis.exe

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Accelerate2002] C:\Program Files\Webroot\Accelerate\accelerate2002.exe /S
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [windbs] winxtc.exe
O4 - HKLM\..\RunServices: [windbs] winxtc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: DataKeeper.lnk = C:\Programme\PowerQuest\DataKeeper 5.0\DataKeeper.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O20 - AppInit_DLLs: NVDESK32.DLL

09.07.2004, 10:30

paff

Member

Beiträge: 1095

#2 @glisse

Dein Problem ist, das du dringend ein Windowsupdate brauchst.
Geh bitte zu www.windowsupdate.com und lade alle angegebenen Patches.

Wenn dus nicht machts kommt der Agobt immer wieder sobald du ins Internet gehts. Er nutzt Fehler im Betriebssystem die nur durch ein windowsupdate behoben werden können.
In dem Fallgibts es noch eine andere Möglichkeit und zwar besorg dir eine Personal Firewall.
zonealarm oder ähnliches.

Wenn du das gemacht hast kannst du folgendes in HiJackThis fixen
O4 - HKLM\..\Run: [windbs] winxtc.exe
O4 - HKLM\..\RunServices: [windbs] winxtc.exe

Poste dann anch einem Neeustart nochmal das LOG

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

11.07.2004, 14:55

glisse

...neu hier

Themenstarter

Beiträge: 3

#3 danke paff für den Tip!
hab ein windows update gemacht; leider hat sich der wurm schon wieder gemeldet. Jetzt wollt ich noch die 2 "O4"-lines fixen, muß aber gestehen, ich weiß weder, was das heißt, noch wie man das macht.
Bitte erklär mir das ganz kurz!
danke!

11.07.2004, 18:40

paff

Member

Beiträge: 1095

Zitat

glisse postete
danke paff für den Tip!
hab ein windows update gemacht; leider hat sich der wurm schon wieder gemeldet. Jetzt wollt ich noch die 2 "O4"-lines fixen, muß aber gestehen, ich weiß weder, was das heißt, noch wie man das macht.
Bitte erklär mir das ganz kurz!
danke!

Fixen heißt: Die Einträge in HiJackThis ankreuzen und dann "Fix Checked" drücken.

Also Fixe diese beiden, mach einen Neustart und poste nochmal das logfile

Gruß Paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

11.07.2004, 20:34

glisse

...neu hier

Themenstarter

Beiträge: 3

#5 Habs gecheckt und auch fix gleich "FIX-checked" gedrückt.

Hab ich den wurm jetzt überstanden?

Logfile of HijackThis v1.98.0
Scan saved at 20:31:14, on 11.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Program Files\Webroot\Accelerate\accelerate2002.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\PowerQuest\DataKeeper 5.0\DataKeeper.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
G:\BackUp_230504\Virus\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Accelerate2002] C:\Program Files\Webroot\Accelerate\accelerate2002.exe /S
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: DataKeeper.lnk = C:\Programme\PowerQuest\DataKeeper 5.0\DataKeeper.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - AppInit_DLLs: NVDESK32.DLL

Es kommt leider nach wie vor folgende Meldung von Antivir:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{D3779FB9-0A08-4CB5-BCE6-FE7C21FFC099}\RP22\A0001049.EXE

Enthält Signatur des Wurmes Worm/Agobot.104960

Was kann ich noch tun?

Dieser Beitrag wurde am 11.07.2004 um 23:15 Uhr von glisse editiert.

12.07.2004, 09:25

paff

Member

Beiträge: 1095

#6 Hi Glisse

Zitat

Es kommt leider nach wie vor folgende Meldung von Antivir:
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D3779FB9-0A08-4CB5-BCE6-FE7C21FFC099}\RP22\A0001049.EXE
Enthält Signatur des Wurmes Worm/Agobot.104960
Was kann ich noch tun?

Um den zu "killen" einfach die Systemwiederherstellung von XP deaktivieren
und neustart machen. Kann danach wieder aktiviert werden.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Zitat

Hab ich den wurm jetzt überstanden?

Das Logfile sieht soweit ganz sauber aus
Nur diese beiden sollten noch gefixt werden.
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Such mal bitte diese Datei
C:\WINDOWS\web\related.htm
und schick Sie mir bitte gezippt an mike_hangover@gozomail.com (Meine FakeEMail)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

Dieser Beitrag wurde am 12.07.2004 um 09:27 Uhr von paff editiert.

02.09.2004, 17:20

vogerl

...neu hier

Beiträge: 6

#7 hallo leute...bitte mal wieder um hilfe...
hatte seit ein paar tagen immer das problem das mein rechner ohne ersichtlichen grund plötzlich heruntergefahren ist....ohne vorwarnung oder sonstige anzeichen....

habe dann formatiert und neuaufgesetzt...auch während des aufsetzens ist er 2mal heruntergefahren...:-(

als ich dann die firewall und das avg installiert hatte bekam ich auch schon wieder die meldung...wurm agobot gefunden und avp-32.exe versucht zu übertragen...

bin am ende und wäre sehr dankbar für jede hilfe....

hier mein hijackthislog...

Scan saved at 17:08:19, on 02.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRA~1\Grisoft\AVG6\avgserv.exe
E:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Ingomaniac\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG_CC] E:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [AVP-SE] avp-32.exe
O4 - HKLM\..\RunServices: [AVP-SE] avp-32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

danke schon mal herzlichst für jede hilfestellung &

gruss vogerl

02.09.2004, 17:28

raman

Moderator

Beiträge: 7805

#8 Du haettest nach der Windowsinstallation und vor dem ersten Internetgang( Windows aktivieren) die Windowsxp Firewall aktivieren und dann die Updates von www.windowsupdate.com installieren muessen, so hat es dich gleich wieder erwischt!

Fix mal im abgesicherten Modus diese Eintreage:

O4 - HKLM\..\Run: [AVP-SE] avp-32.exe
O4 - HKLM\..\RunServices: [AVP-SE] avp-32.exe

starte neu lasse AVG den Wurm loeschen und hole die Windowsupdate so schnell wie moeglich nach!
__________
MfG Ralf
SEO-Spam Hunter

02.09.2004, 20:01

paff

Member

Beiträge: 1095

#9 @vogerl

Benutzt mal diese Anleitung zum Aufsetzen von WinXP
Das sollte vermeiden das du gleich wieder befallen wirst.

http://dieschis-welt.de/wbboard/thread.php?threadid=4597&boardid=25&styleid=1&sid=6eaff64afcba421db643ebfd06fd85d9

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

03.09.2004, 02:26

vogerl

...neu hier

Beiträge: 6

#10 vielen dank für die kompetente hilfe raman & paff

ihr habt mir sehr weitergeholfen....

1000dank an euch...

funktioniert wieder einwandfrei....

gruss vogerl

15.09.2004, 23:44

Bat

...neu hier

Beiträge: 1

#11 Hallo!

Ich habe diesen Agobot leider auch inzwischen.

Er legt sich immer in dem selben Ordner ab. Ich habe auch mit hijackthis geguckt, aber ich habe keine einträge gefunden.

beim neustart meldet sich auch nix, lediglich wenn ich in diesen ordner geh schreit antivir.

er kommt immer wieder und langsam nervts.

hier mein hijackthis log:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-at\msnappau.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

kann man mir auch helfen? :/ is zwar nich schlimm dieser agobot, aba extrem nervig.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1