Dos-agobot.gen kommt immer wieder |
||
---|---|---|
#0
| ||
15.09.2004, 09:41
...neu hier
Beiträge: 2 |
||
|
||
15.09.2004, 10:31
Moderator
Beiträge: 7805 |
#2
Versuche es hiermit: http://www.trojaner-info.de/hijacker/escan.shtml und poste danach ein Hijackthis log.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.09.2004, 10:59
...neu hier
Themenstarter Beiträge: 2 |
#3
Hier erst mal das LOG von Hijackthis:
Logfile of HijackThis v1.98.2 Scan saved at 10:56:35, on 15.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\AVM\NetWAYS\NETWSERV.EXE C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe C:\Programme\AVM\NetWAYS\AVMIKE.EXE C:\Programme\AVM\NetWAYS\CERTSRV.EXE C:\WINDOWS\system32\carpserv.exe C:\WINDOWS\system32\atiptaxx.exe C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\csmss.exe C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\Trend Micro\OfficeScan Client\pccntupd.exe C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0\CalCheck.exe C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe C:\Dokumente und Einstellungen\Alfred Brehm\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\tcpgn.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://tcpgn.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\tcpgn.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\tcpgn.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://tcpgn.dll/index.html#37049 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.108.1:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;192.168.108.1;server;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {5E35FC42-405A-366B-FBC7-92E4FB34278A} - C:\WINDOWS\sdktf32.dll (file missing) O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBBL16.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iegd.exe] C:\WINDOWS\iegd.exe O4 - HKLM\..\Run: [MsgApi] C:\WINDOWS\System32\csmss.exe O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ? O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ? O4 - Global Startup: Ulead Kalendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0\CalCheck.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://sbs03-1:4343/officescan/console/ClientInstall/WinNTChk.cab O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://sbs03-1:4343/officescan/console/ClientInstall/setupini.cab O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://sbs03-1:4343/officescan/console/ClientInstall/setup.cab O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://192.168.108.1:4343/officescan/console/html/AtxEnc.cab O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://sbs03-1:4343/officescan/console/ClientInstall/RemoveCtrl.cab O16 - DPF: {69B502DF-D12F-4FD7-9892-D8DFA2D96474} (OfficeScan Management Console) - https://server:4343/officescan/console/html/AtxConsole.cab |
|
|
||
15.09.2004, 11:13
Moderator
Beiträge: 7805 |
#4
Der Rechner sieht ziemlich "matsche" aus.
Hast du alles so gemacht, wie in meinem ersten Posting beschrieben? Erst Escan dann das log? Sonst hilft uns das recht wenig. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
folgendes Szenario: Win XP Professional (SP2), LAN-Netzwerkverbindung, TrendMicro Office Scan über Server.
Der Virus DOS_AGOBOT.GEN ist auf einem PC. Nach jedem Neustart ist er wieder da. Immer im Verzeichnis C:\WINDOWS\SYSTEM32\DRIVERS\ETC die Datei "HOSTS", in die dann die Webseiten von Antivirensoftwareherstellern auf die 127.0.0.0 umgeleitet werden.
Ich habe schon im abgesicherten Modus versucht das Teil zu entfernen, aber es ist dann nicht mehr da!
Mit Hijackthis habe ich auch schon nach verdächtigen Einträgen gesucht. Ich weiß allerdings nicht, welche Datei diesen Virus generiert bzw. die "HOSTS"-Datei beschreibt.
Wie kann ich dieses Mistvieh entfernen?
Grüße
Mario Heiß