W32/Agobot-JS ständige LAN Verbindung!

#0
12.07.2004, 19:39
...neu hier

Beiträge: 2
#1 Hallo,

habe seit einigen Tagen ein Problem mit ständig offener LAN Verbindung sobald das Kabel eingesteckt wird. Es herrscht fideler Paketetraffic!
Ich hab dann die Prozesse aus dem Taskmanager einzeln versucht über Google zu analysieren und prompt die Soundman.exe als W32/Agobot-JS enttarnt und manuell entfernt (wie bei SOPHOS empfohlen).
Das Problem bestand weiterhin. Über dies Board bin ich dann auf Hijack This gestoßen, hier das Log:

Logfile of HijackThis v1.98.0
Scan saved at 18:51:12, on 13.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
E:\Apps Safety\Anti Viren\AntiVir\AVGUARD.EXE
D:\WINDOWS\Explorer.EXE
E:\Apps Safety\Anti Viren\AntiVir\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\Tablet.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\Apps Safety\Anti Viren\AntiVir\AVGNT.EXE
D:\Programme\QuickTime\qttask.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\Apps Safety\Firewalls\Zone Alarm\zlclient.exe
E:\Apps Safety\Anti Viren\Trojan Check\Trojancheck 6\tcguard.exe
D:\WINDOWS\System32\ctfmon.exe
E:\Utilities\Desktop\Screenshot\MWSnap\MWSnap.exe
E:\Apps Grafik\Acrobat 5.0\Distillr\AcroTray.exe
E:\Treiber\Nikon D 70\Picture Projoct\NkbMonitor.exe
D:\WINDOWS\Explorer.EXE
F:\Daten Installer\Apps Safety\Browser Hijacking\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\apps grafik\acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - D:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [WinampAgent] "E:\Apps Sound\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] E:\Apps Safety\Anti Viren\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Apps Safety\Firewalls\Zone Alarm\zlclient.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Apps Safety\Anti Viren\Trojan Check\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MWSnap] "E:\Utilities\Desktop\Screenshot\MWSnap\MWSnap.exe"
O4 - Global Startup: Acrobat Assistant.lnk = E:\Apps Grafik\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Apps Office\Office XP\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = E:\Treiber\Nikon D 70\Picture Projoct\NkbMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\APPSOF~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - E:\Apps Internet\Camsoftware\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - E:\Apps Internet\Camsoftware\XM2002.exe (file missing)
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab

Das ganze hab ich dann hier
http://www.hijackthis.de/
analysieren lassen. Dabei kam raus:

Meldung Art
(Gut, Böse, Unbekannt) Beschreibung Empfehlung
Logfile of HijackThis v1.98.0 Gut
Gut Zeigt die Version von HijackThis an. Neuste Version: v1.98.0! Ihre Version sollte aktuell sein. (v1.98.0 )
MSIE: Internet Explorer v6.00 (6.00.2600.0000) Eventuell veraltet
Eventuell veraltet Zeigt die Version des InternetExplorers an. Neuste Version: 6.00.2800.1106! Ihre Version (6.00.2600.0000) ist veraltet. Besuchen Sie Windowsupdate um Ihren Browser zu aktualisieren!
D:\WINDOWS\System32\smss.exe Gut
Gut Laufender Prozess. (smss.exe)
Systemprozess - Anwendung, die benutzt wird um Sitzungen zu starten, verwalten und löschen.
D:\WINDOWS\system32\winlogon.exe Gut
Gut Laufender Prozess. (winlogon.exe)
Systemprozess - Windows Login Routine
D:\WINDOWS\system32\services.exe Gut
Gut Laufender Prozess. (services.exe)
Systemprozess - Verwaltet die Systemdienste.
D:\WINDOWS\system32\lsass.exe Gut
Gut Laufender Prozess. (lsass.exe)
Systemprozess durch den der Wurm Sasser gekommen ist.
D:\WINDOWS\system32\svchost.exe Gut
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
D:\WINDOWS\System32\svchost.exe Gut
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
D:\WINDOWS\system32\spoolsv.exe Gut
Gut Laufender Prozess. (spoolsv.exe)
Systemprozess
E:\Apps Safety\Anti Viren\AntiVir\AVGUARD.EXE Gut
Gut Laufender Prozess. (AVGUARD.EXE)

D:\WINDOWS\Explorer.EXE Gut
Gut Laufender Prozess. (Explorer.EXE)
Systemprozess für Desktop und Taskleiste.
E:\Apps Safety\Anti Viren\AntiVir\AVWUPSRV.EXE Gut
Gut Laufender Prozess. (AVWUPSRV.EXE)

D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe Gut
Gut Laufender Prozess. (mdm.exe)

D:\WINDOWS\System32\nvsvc32.exe Gut
Gut Laufender Prozess. (nvsvc32.exe)
Nicht gefährlich aber unnötig.
D:\WINDOWS\System32\svchost.exe Gut
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
D:\WINDOWS\System32\Tablet.exe Gut
Gut Laufender Prozess. (Tablet.exe)

D:\WINDOWS\system32\ZoneLabs\vsmon.exe Gut
Gut Laufender Prozess. (vsmon.exe)

E:\Apps Safety\Anti Viren\AntiVir\AVGNT.EXE Gut
Gut Laufender Prozess. (AVGNT.EXE)

D:\Programme\QuickTime\qttask.exe Gut
Gut Laufender Prozess. (qttask.exe)

D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe Gut
Gut Laufender Prozess. (jusched.exe)

E:\Apps Safety\Firewalls\Zone Alarm\zlclient.exe Gut
Gut Laufender Prozess. (zlclient.exe)

E:\Apps Safety\Anti Viren\Trojan Check\Trojancheck 6\tcguard.exe Gut
Gut Laufender Prozess. (tcguard.exe)
Trojancheck
D:\WINDOWS\System32\ctfmon.exe Gut
Gut Laufender Prozess. (ctfmon.exe)

E:\Utilities\Desktop\Screenshot\MWSnap\MWSnap.exe Unbekannt
Unbekannt Laufender Prozess. (MWSnap.exe)
Dies ist ein unbekannter Prozess.
E:\Apps Grafik\Acrobat 5.0\Distillr\AcroTray.exe Gut
Gut Laufender Prozess. (AcroTray.exe)

E:\Treiber\Nikon D 70\Picture Projoct\NkbMonitor.exe Unbekannt
Unbekannt Laufender Prozess. (NkbMonitor.exe)
Dies ist ein unbekannter Prozess.
D:\WINDOWS\Explorer.EXE Gut
Gut Laufender Prozess. (Explorer.EXE)
Systemprozess für Desktop und Taskleiste.
F:\Daten Installer\Apps Safety\Browser Hijacking\HijackThis.exe Gut
Gut Laufender Prozess. (HijackThis.exe)
Tool, mit dem sie dieses Logfile erzeugt haben.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ Gut
Gut Diese Seite wurde als Gut identifiziert!
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\apps grafik\acrobat 5.0\ Gut
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([06849E9F-C8D7-4D59-B87D-784B7D6BE0B3] - Treffer: 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) wurde überprüft.
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx Gut
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([8E718888-423F-11D2-876E-00A0C9082467] - Treffer: 8E718888-423F-11D2-876E-00A0C9082467) wurde überprüft. Wenn der Name aus zufälligen Zeichen besteht, sich im Verzeichnis 'Application Data' (Anwendungsdaten) befindet und die Art 'Unbekannt' ist, fixen.
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - D:\WINDOWS\Downloaded Program Files Gut
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([2318C2B1-4965-11d4-9B18-009027A5CD4F] - Treffer: 2318C2B1-4965-11D4-9B18-009027A5CD4F) wurde überprüft. Wenn der Name aus zufälligen Zeichen besteht, sich im Verzeichnis 'Application Data' (Anwendungsdaten) befindet und die Art 'Unbekannt' ist, fixen.
O4 - HKLM\..\Run: [WinampAgent] "E:\Apps Sound\Winamp\Winampa.exe" Gut
Gut Zum eingegebenen Programm WinampAgent haben wir folgendes Programm gefunden: WinampAgent. (Resultate)
O4 - HKLM\..\Run: [AVGCtrl] E:\Apps Safety\Anti Viren\AntiVir\AVGNT.EXE /min Gut
Gut Zum eingegebenen Programm AVGCtrl haben wir folgendes Programm gefunden: AVGCtrl. (Resultate)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k Gut
Gut Zum eingegebenen Programm KernelFaultCheck haben wir folgendes Programm gefunden: KernelFaultCheck. (Resultate) Nicht gefährlich aber unnötig.
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup Gut
Gut Zum eingegebenen Programm NvCplDaemon haben wir folgendes Programm gefunden: NvCplorNvCplDaemon. (Resultate)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install Gut
Gut Zum eingegebenen Programm nwiz haben wir folgendes Programm gefunden: nwiz. (Resultate)
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe Gut
Gut Zum eingegebenen Programm NeroCheck haben wir folgendes Programm gefunden: NeroCheck. (Resultate)
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime Gut
Gut Zum eingegebenen Programm QuickTime Task haben wir folgendes Programm gefunden: QuickTime Task. (Resultate) Nicht gefährlich aber unnötig.
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe Gut
Gut Zum eingegebenen Programm SunJavaUpdateSched haben wir folgendes Programm gefunden: SunJavaUpdateSched. (Resultate)
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Apps Safety\Firewalls\Zone Alarm\zlclient.exe" Gut
Gut Zum eingegebenen Programm Zone Labs Client haben wir folgendes Programm gefunden: zlclientorZone Labs Client. (Resultate)
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Apps Safety\Anti Viren\Trojan Check\Trojancheck 6\tcguard Gut
Gut Zum eingegebenen Programm Trojancheck 6 Guard haben wir folgendes Programm gefunden: Trojancheck 6 Guard. (Resultate)
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe Gut
Gut Zum eingegebenen Programm CTFMON.EXE haben wir folgendes Programm gefunden: ctfmon. (Resultate)
O4 - HKCU\..\Run: [MWSnap] "E:\Utilities\Desktop\Screenshot\MWSnap\MWSnap.exe" Gut
Gut Zum eingegebenen Programm MWSnap haben wir folgendes Programm gefunden: MWSnap. (Resultate) Nicht gefährlich aber unnötig.
O4 - Global Startup: Acrobat Assistant.lnk = E:\Apps Grafik\Acrobat 5.0\Distillr\AcroTray.exe Gut
Gut Zum eingegebenen Programm 'Acrobat Assistant.lnk (AcroTray.exe)' haben wir folgendes Programm gefunden: 'Acrobat Assistant (ACROTRAY.EXE )'. (Resultate)
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adob Gut
Gut Zum eingegebenen Programm 'Adobe Gamma Loader.lnk (Adobe Gamma Loader.exe)' haben wir folgendes Programm gefunden: 'Adobe Gamma Loader (Adobe Gamma Loader.exe )'. (Resultate)
O4 - Global Startup: Microsoft Office.lnk = E:\Apps Office\Office XP\Office10\OSA.EXE Gut
Gut Zum eingegebenen Programm 'Microsoft Office.lnk (OSA.EXE)' haben wir folgendes Programm gefunden: 'Microsoft Office (Microsoft Office.lnk)'. (Resultate)
O4 - Global Startup: NkbMonitor.exe.lnk = E:\Treiber\Nikon D 70\Picture Projoct\NkbMonitor.exe Unbekannt
Unbekannt Zum eingegebenen Programm 'NkbMonitor.exe.lnk (NkbMonitor.exe)' haben wir folgendes Programm gefunden: 'Kein ()'. (Resultate) Nicht bekanntes Programm.
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\APPSOF~1\OFFICE~1\Office1 Gut
Gut Der Eintrag Nach Microsoft &Excel exportieren wurde als Gut erkannt. Wenn der Eintrag 'Nach Microsoft &Excel exportieren ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) Eventuell Böse
Eventuell Böse Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen. Wenn der Eintrag '' nicht bekannt ist, fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) Gut
Gut Der Eintrag Sun Java Konsole wurde als Gut erkannt. Wenn der Eintrag 'Sun Java Konsole ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - E:\Apps Internet\Camsoftware\X Eventuell Böse
Eventuell Böse Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen. Wenn der Eintrag 'XM2002® ' nicht bekannt ist, fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - E:\Apps Internet\Ca Eventuell Böse
Eventuell Böse Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen. Wenn der Eintrag '&XM2002® ' nicht bekannt ist, fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data Gut
Gut Dieser Eintrag wurde als Gut identifiziert!

Dieses Logfile wurde automatisch ausgewertet!
Werten auch Sie Ihr Logfile automatisch auf www.hijackthis.de aus!

Hrm, hats etwas verwürfelt, aber Profis können die wichtigen Facts wohl erkennen.
Hab alles gefixt, aber die Verbindung ist immer noch offen.
Mittlerweile geht auch der Browser (Mozilla) nicht mehr, er findet die URLs nicht mehr....

Bitte um Hilfe.....Danke
Seitenanfang Seitenende
12.07.2004, 22:12
Member

Beiträge: 1095
#2 @Shrink

Hast du diese Datei editiert
C:\WINNT\system32\drivers\etc\hosts

wie es bei sophos angeben ist ?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
12.07.2004, 22:40
...neu hier

Themenstarter

Beiträge: 2
#3 @ paff

Ich habe sie geprüft. Waren aber keine Einträge vorhanden.
Hab jetzt mit AntiVir den Dialer TR/Dialer.T.2 in einem Archiv gefunden und gelöscht. Hab die Konfiguration vom AV Guard scharf gemacht wie Sabina es in einem anderen Thread beschrieben hat. Hab dann im abgesicherten Modus gescannt. AntiVir hat aber ne Menge Fehler im Log verzeichnet, konnte anscheinend auf viele Dateien nicht zugreifen.
Die LAN-Verbindung geht immer noch sofort an.......

Danke einstweilen..
Gruß Shrike71
Seitenanfang Seitenende
13.07.2004, 11:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 @Shrink

nimm aus dem Autostart
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe



#lade mwav.exe, scanne alle Dateien und berichte dann, was das Tool gefunden hat.
http://www.mwti.net/antivirus/free_utilities.asp

#lade AdAware free
http://www.lavasoft.de/

# nutze mal diesen Cleaner:
ftp://ftp.kaspersky.com/utils/clrav.com


#Mache unbedingt die WindowsUpdates, wenigstens alles ausser Servicepack 1 und aktualisiere den IE auf IE 6 SP1
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.07.2004 um 11:46 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: