Virus: Bck/Agent.E - wie entfernen? |
||
---|---|---|
#0
| ||
19.12.2004, 11:59
Member
Beiträge: 16 |
||
|
||
19.12.2004, 14:39
Member
Themenstarter Beiträge: 16 |
#2
Logfile of HijackThis v1.99.0
Scan saved at 14:40:18, on 19.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\SICHERHEIT\Panda Internet Security\PavProt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\SICHERHEIT\Panda Internet Security\PaSSrv.exe C:\Programme\SICHERHEIT\Panda Internet Security\PavFnSvr.exe C:\Programme\SICHERHEIT\Panda Internet Security\Pavkre.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\SICHERHEIT\Panda Internet Security\pavsrv51.exe C:\Programme\SICHERHEIT\Panda Internet Security\AVENGINE.EXE C:\Programme\SICHERHEIT\Panda Internet Security\prevsrv.exe C:\Programme\SICHERHEIT\Panda Internet Security\PsImSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system\svchost.exe C:\Programme\SICHERHEIT\Panda Internet Security\avciman.exe C:\Programme\SICHERHEIT\Panda Internet Security\WebProxy.exe C:\Programme\Mozilla Firefox\firefox.exe E:\Downloads\Programme\SICHERHEIT !\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\system32\smiehlp.dll O2 - BHO: (no name) - {E3025990-EC8F-487D-8947-AA6DACBD256D} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\SICHERHEIT\Panda Internet Security\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\SICHERHEIT\Panda Internet Security\APVXDWIN.EXE" /s O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Programme\SICHERHEIT\Panda Internet Security\PasSrv.exe" O4 - Startup: T-Online.lnk = ? O4 - Global Startup: SECRETMAKER.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002®\XM2002.exe O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002®\XM2002.exe O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D0E406E6-43D1-439F-946E-9B1246FCD402}: NameServer = 217.237.150.141 217.237.150.97 O18 - Filter: text/html - {6AB192E4-9522-4E3C-8EBF-D5E50B15EE09} - C:\WINDOWS\system32\kaj.dll O18 - Filter: text/plain - {6AB192E4-9522-4E3C-8EBF-D5E50B15EE09} - C:\WINDOWS\system32\kaj.dll O20 - AppInit_DLLs: C:\WINDOWS\System32\d3dih.dll O23 - Service: Creative Service for CDROM Access - Unknown - C:\WINDOWS\system32\CTsvcCDA.exe (file missing) O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Panda Antispam Server Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PaSSrv.exe O23 - Service: Panda Firewall Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\Firewall\PavFires.exe O23 - Service: Panda Function Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PavFnSvr.exe O23 - Service: Panda Pavkre - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\Pavkre.exe O23 - Service: Panda PavProt - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PavProt.exe O23 - Service: Panda Process Protection Service - Unknown - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\pavsrv51.exe O23 - Service: Panda Preventium+ Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\prevsrv.exe O23 - Service: Panda IManager Service - Panda Software Internacional - C:\Programme\SICHERHEIT\Panda Internet Security\PsImSvc.exe O23 - Service: Security Agent - Unknown - C:\WINDOWS\system32\scagent.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: WMDM PMSP Service - Unknown - C:\WINDOWS\system32\MsPMSPSv.exe (file missing) |
|
|
||
19.12.2004, 18:37
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo@sain
Lade. die Killbox http://download.broadbandmedic.com/ Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. So wird der Dienst deaktiviert: Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Security Agent" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der Security Agent beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der Security Agent läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. Gehe in die Registry Start<Ausfuehren<regedit 1.Schritt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs loesche:-->mit rechtscklick C:\WINDOWS\System32\d3dih.dll suche dann (bearbeiten-->suchen) ob es andere Schluessel mit d3dih.dll gibt...wenn ja, alles loeschen 2.Schritt: ueberpruefe, ob du das findest--poste es HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HOST_SERVICE\ 3.Schritt: suche "scagent" und "Security Agent" -->poste mir alles, was du findst ................................................................................................................................ #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\system32\smiehlp.dll O2 - BHO: (no name) - {E3025990-EC8F-487D-8947-AA6DACBD256D} - (no file) O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe --->"Backdoor.Win32.VB.ye" O4 - Global Startup: SECRETMAKER.lnk = ? O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O18 - Filter: text/html - {6AB192E4-9522-4E3C-8EBF-D5E50B15EE09} - C:\WINDOWS\system32\kaj.dll O18 - Filter: text/plain - {6AB192E4-9522-4E3C-8EBF-D5E50B15EE09} - C:\WINDOWS\system32\kaj.dll O20 - AppInit_DLLs: C:\WINDOWS\System32\d3dih.dll PC neustarten <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Start<Ausfuehren<cmd kopiere rein: del C:\WINDOWS\System32\d3dih.dll <enter< del C:\WINDOWS\system32\kaj.dll <enter< del C:\WINDOWS\system32\scagent.exe <enter del C:\WINDOWS\system32\smiehlp.dll <enter ->Löschen/mit der Killbox: geh auf <Delete File on Reboot <Unregister .dll before deleting. und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" http://www.bleepingcomputer.com/files/killbox.php C:\WINDOWS\system32\smiehlp.dll C:\WINDOWS\system\svchost.exe C:\WINDOWS\system32\kaj.dll C:\WINDOWS\System32\d3dih.dll neustarten Lade: version of Ad-Aware at http://www.lavasoftusa.com/support/download/ - Under Ad-aware 6 > Settings (Gear at the top) > Tweaks > Scanning Engine: check: "Unload recognized processes during scanning." - Under Ad-aware 6 > Settings (Gear at the top) > Tweaks > Cleaning Engine: Check: "Let Windows remove files in use after reboot." nach dem Neustart lade: #backdoor.agent.b.removal.tool.(Symantec) http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html dann arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, bzw die Dateien im abgesicherten Modus loeschen (die Killbox #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein und poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.12.2004 um 19:06 Uhr von Sabina editiert.
|
|
|
||
20.12.2004, 16:17
Member
Themenstarter Beiträge: 16 |
#4
-in der Registry: 1.schritt: ausgeführt
2.schritt: nichts dazu gefunden 3.schritt: für "scagent" folgendes gefunden: C:\WINDOWS\system32\scagent.exe REG_SZ Wert: 1184 für "Security Agent" folgendes: Name: Typ: Wert: Class REG_SZ Legacy Driver ClassGUID REG_SZ {8ECC055D-047F-11D1-A537-0000F8753ED1} ConfigFlags REG_DWORD 0 DeviceDesk REG_SZ Security Agent Legacy REG_DWORD 1 Service REG_SZ scagent -Hijackthis ausgeführt und gefixt... -mit Killbox gelöscht -und alles was du sonst noch geschrieben hast, wurde erledigt... hier das neue logfile: Logfile of HijackThis v1.99.0 Scan saved at 15:57:16, on 20.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\SICHERHEIT\Panda Internet Security\PavProt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\SICHERHEIT\Panda Internet Security\PaSSrv.exe C:\Programme\SICHERHEIT\Panda Internet Security\PavFnSvr.exe C:\Programme\SICHERHEIT\Panda Internet Security\Pavkre.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\SICHERHEIT\Panda Internet Security\pavsrv51.exe C:\Programme\SICHERHEIT\Panda Internet Security\prevsrv.exe C:\Programme\SICHERHEIT\Panda Internet Security\PsImSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\SICHERHEIT\Panda Internet Security\AVENGINE.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\SICHERHEIT\Panda Internet Security\APVXDWIN.EXE C:\Programme\SICHERHEIT\Panda Internet Security\WebProxy.exe E:\Downloads\Programme\SICHERHEIT !\hijackthis\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\SICHERHEIT\Panda Internet Security\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\SICHERHEIT\Panda Internet Security\APVXDWIN.EXE" /s O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Programme\SICHERHEIT\Panda Internet Security\PasSrv.exe" O4 - Startup: T-Online.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002®\XM2002.exe O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002®\XM2002.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{D0E406E6-43D1-439F-946E-9B1246FCD402}: NameServer = 217.237.150.141 217.237.150.97 O23 - Service: Creative Service for CDROM Access - Unknown - C:\WINDOWS\system32\CTsvcCDA.exe (file missing) O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Panda Antispam Server Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PaSSrv.exe O23 - Service: Panda Firewall Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\Firewall\PavFires.exe O23 - Service: Panda Function Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PavFnSvr.exe O23 - Service: Panda Pavkre - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\Pavkre.exe O23 - Service: Panda PavProt - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PavProt.exe O23 - Service: Panda Process Protection Service - Unknown - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\pavsrv51.exe O23 - Service: Panda Preventium+ Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\prevsrv.exe O23 - Service: Panda IManager Service - Panda Software Internacional - C:\Programme\SICHERHEIT\Panda Internet Security\PsImSvc.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: WMDM PMSP Service - Unknown - C:\WINDOWS\system32\MsPMSPSv.exe (file missing) vielen dank übrigens für deine schnelle hilfe haste noch was gefunden bei mir oder soll ich nun noch etwas machen? mfg sain |
|
|
||
21.12.2004, 12:06
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo@sain
Das Log ist sauber Hast du die scagent.exe in Windows und in der Registry geloescht ???? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2004, 18:59
Member
Themenstarter Beiträge: 16 |
#6
in windows ja, und in der registry....ich weiss net welche du genau meinst, dort gibt es mehrere, zb:
C:\WINDOWS\system32\scagent.exe ---> hab ich gelöscht Name: 000 Wert:scagent.exe... ----> gelöscht soll ich denn alles löschen was mit scagent zu tun hat? oder nur die "scagent.exe"...`? |
|
|
||
22.12.2004, 00:09
Ehrenmitglied
Beiträge: 29434 |
||
|
||
22.12.2004, 09:33
Member
Themenstarter Beiträge: 16 |
#8
okay, alles klar bin damit nun fertig....jetzt is der pc erstmal wieder fit
vielen dank für deine hilfe nochmal, komme gerne wieder darauf zurück.... |
|
|
||
habe vor kurzem wieder mal panda internet security (firewall,antivirus etc) auf mein rechner installiert. (da ich mit Antivir unzufrieden war)
konnte nach einem full system scan alle viren beseitigen, außer folgendem:
"The file could not be disinfected. Please check that it is not in use or write-protected"
Virus Name: Bck/Agent.E
Virus Location: c:\windows\system32\d3dih.dll
und diese meldung kommt immer und immer wieder...
manche programme werden dann auch "geblockt" und ich kann sie lassen sich nicht mehr öffnen
habe dann nach dieser datei gesucht, auch unter versteckten ordnern, aber leider ohne erfolg. Im Taskmanager konnte ich auch keinen Prozess finden der dafür verantwortlich ist.
Ich weiß wirklich nicht mehr weiter und bin auf eure Hilfe angewiesen.
Würde mich sehr freuen wenn ihr mir weiterhelfen könntet!
PS: Wenn es weiterhilft, kann ich beim nächsten post auch noch meine
hijack-log hier reinschreiben...