Virus: Bck/Agent.E - wie entfernen?

#1 hallo zusammen,

habe vor kurzem wieder mal panda internet security (firewall,antivirus etc) auf mein rechner installiert. (da ich mit Antivir unzufrieden war)
konnte nach einem full system scan alle viren beseitigen, außer folgendem:

"The file could not be disinfected. Please check that it is not in use or write-protected"

Virus Name: Bck/Agent.E
Virus Location: c:\windows\system32\d3dih.dll

und diese meldung kommt immer und immer wieder...
manche programme werden dann auch "geblockt" und ich kann sie lassen sich nicht mehr öffnen

habe dann nach dieser datei gesucht, auch unter versteckten ordnern, aber leider ohne erfolg. Im Taskmanager konnte ich auch keinen Prozess finden der dafür verantwortlich ist.

Ich weiß wirklich nicht mehr weiter und bin auf eure Hilfe angewiesen.
Würde mich sehr freuen wenn ihr mir weiterhelfen könntet!

PS: Wenn es weiterhilft, kann ich beim nächsten post auch noch meine
hijack-log hier reinschreiben...

#2 Logfile of HijackThis v1.99.0
Scan saved at 14:40:18, on 19.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\SICHERHEIT\Panda Internet Security\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\SICHERHEIT\Panda Internet Security\PaSSrv.exe
C:\Programme\SICHERHEIT\Panda Internet Security\PavFnSvr.exe
C:\Programme\SICHERHEIT\Panda Internet Security\Pavkre.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\SICHERHEIT\Panda Internet Security\pavsrv51.exe
C:\Programme\SICHERHEIT\Panda Internet Security\AVENGINE.EXE
C:\Programme\SICHERHEIT\Panda Internet Security\prevsrv.exe
C:\Programme\SICHERHEIT\Panda Internet Security\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system\svchost.exe
C:\Programme\SICHERHEIT\Panda Internet Security\avciman.exe
C:\Programme\SICHERHEIT\Panda Internet Security\WebProxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Downloads\Programme\SICHERHEIT !\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\system32\smiehlp.dll
O2 - BHO: (no name) - {E3025990-EC8F-487D-8947-AA6DACBD256D} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\SICHERHEIT\Panda Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\SICHERHEIT\Panda Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Programme\SICHERHEIT\Panda Internet Security\PasSrv.exe"
O4 - Startup: T-Online.lnk = ?
O4 - Global Startup: SECRETMAKER.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002®\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002®\XM2002.exe
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0E406E6-43D1-439F-946E-9B1246FCD402}: NameServer = 217.237.150.141 217.237.150.97
O18 - Filter: text/html - {6AB192E4-9522-4E3C-8EBF-D5E50B15EE09} - C:\WINDOWS\system32\kaj.dll
O18 - Filter: text/plain - {6AB192E4-9522-4E3C-8EBF-D5E50B15EE09} - C:\WINDOWS\system32\kaj.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\d3dih.dll
O23 - Service: Creative Service for CDROM Access - Unknown - C:\WINDOWS\system32\CTsvcCDA.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Antispam Server Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PaSSrv.exe
O23 - Service: Panda Firewall Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Function Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PavFnSvr.exe
O23 - Service: Panda Pavkre - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\Pavkre.exe
O23 - Service: Panda PavProt - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PavProt.exe
O23 - Service: Panda Process Protection Service - Unknown - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\pavsrv51.exe
O23 - Service: Panda Preventium+ Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\prevsrv.exe
O23 - Service: Panda IManager Service - Panda Software Internacional - C:\Programme\SICHERHEIT\Panda Internet Security\PsImSvc.exe
O23 - Service: Security Agent - Unknown - C:\WINDOWS\system32\scagent.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: WMDM PMSP Service - Unknown - C:\WINDOWS\system32\MsPMSPSv.exe (file missing)

#3 Hallo@sain

Lade.
die Killbox
http://download.broadbandmedic.com/

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Security Agent" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der Security Agent beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der Security Agent läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Gehe in die Registry
Start<Ausfuehren<regedit
1.Schritt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
loesche:-->mit rechtscklick

C:\WINDOWS\System32\d3dih.dll

suche dann (bearbeiten-->suchen) ob es andere Schluessel mit d3dih.dll gibt...wenn ja, alles loeschen

2.Schritt:
ueberpruefe, ob du das findest--poste es
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HOST_SERVICE\

3.Schritt:
suche "scagent" und "Security Agent" -->poste mir alles, was du findst
................................................................................................................................
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\system32\smiehlp.dll
O2 - BHO: (no name) - {E3025990-EC8F-487D-8947-AA6DACBD256D} - (no file)
O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe --->"Backdoor.Win32.VB.ye"
O4 - Global Startup: SECRETMAKER.lnk = ?
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O18 - Filter: text/html - {6AB192E4-9522-4E3C-8EBF-D5E50B15EE09} - C:\WINDOWS\system32\kaj.dll
O18 - Filter: text/plain - {6AB192E4-9522-4E3C-8EBF-D5E50B15EE09} - C:\WINDOWS\system32\kaj.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\d3dih.dll

PC neustarten
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Start<Ausfuehren<cmd
kopiere rein:
del C:\WINDOWS\System32\d3dih.dll
<enter<

del C:\WINDOWS\system32\kaj.dll
<enter<

del C:\WINDOWS\system32\scagent.exe
<enter

del C:\WINDOWS\system32\smiehlp.dll
<enter

->Löschen/mit der Killbox:
geh auf
<Delete File on Reboot
<Unregister .dll before deleting.
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

C:\WINDOWS\system32\smiehlp.dll
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system32\kaj.dll
C:\WINDOWS\System32\d3dih.dll

neustarten

Lade:
version of Ad-Aware at http://www.lavasoftusa.com/support/download/
- Under Ad-aware 6 > Settings (Gear at the top) > Tweaks > Scanning Engine:
check: "Unload recognized processes during scanning."

- Under Ad-aware 6 > Settings (Gear at the top) > Tweaks > Cleaning Engine:
Check: "Let Windows remove files in use after reboot."

nach dem Neustart lade:
#backdoor.agent.b.removal.tool.(Symantec)
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

dann arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen (die Killbox

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#4 -in der Registry: 1.schritt: ausgeführt
2.schritt: nichts dazu gefunden
3.schritt: für "scagent" folgendes gefunden:

C:\WINDOWS\system32\scagent.exe REG_SZ Wert: 1184

für "Security Agent" folgendes:

Name: Typ: Wert:
Class REG_SZ Legacy Driver
ClassGUID REG_SZ {8ECC055D-047F-11D1-A537-0000F8753ED1}
ConfigFlags REG_DWORD 0
DeviceDesk REG_SZ Security Agent
Legacy REG_DWORD 1
Service REG_SZ scagent

-Hijackthis ausgeführt und gefixt...

-mit Killbox gelöscht

-und alles was du sonst noch geschrieben hast, wurde erledigt...


hier das neue logfile:
Logfile of HijackThis v1.99.0
Scan saved at 15:57:16, on 20.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\SICHERHEIT\Panda Internet Security\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\SICHERHEIT\Panda Internet Security\PaSSrv.exe
C:\Programme\SICHERHEIT\Panda Internet Security\PavFnSvr.exe
C:\Programme\SICHERHEIT\Panda Internet Security\Pavkre.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\SICHERHEIT\Panda Internet Security\pavsrv51.exe
C:\Programme\SICHERHEIT\Panda Internet Security\prevsrv.exe
C:\Programme\SICHERHEIT\Panda Internet Security\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\SICHERHEIT\Panda Internet Security\AVENGINE.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SICHERHEIT\Panda Internet Security\APVXDWIN.EXE
C:\Programme\SICHERHEIT\Panda Internet Security\WebProxy.exe
E:\Downloads\Programme\SICHERHEIT !\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\SICHERHEIT\Panda Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\SICHERHEIT\Panda Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Programme\SICHERHEIT\Panda Internet Security\PasSrv.exe"
O4 - Startup: T-Online.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002®\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\XM2002®\XM2002.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0E406E6-43D1-439F-946E-9B1246FCD402}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: Creative Service for CDROM Access - Unknown - C:\WINDOWS\system32\CTsvcCDA.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Antispam Server Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PaSSrv.exe
O23 - Service: Panda Firewall Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Function Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PavFnSvr.exe
O23 - Service: Panda Pavkre - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\Pavkre.exe
O23 - Service: Panda PavProt - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\PavProt.exe
O23 - Service: Panda Process Protection Service - Unknown - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\pavsrv51.exe
O23 - Service: Panda Preventium+ Service - Unknown - C:\Programme\SICHERHEIT\Panda Internet Security\prevsrv.exe
O23 - Service: Panda IManager Service - Panda Software Internacional - C:\Programme\SICHERHEIT\Panda Internet Security\PsImSvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: WMDM PMSP Service - Unknown - C:\WINDOWS\system32\MsPMSPSv.exe (file missing)


vielen dank übrigens für deine schnelle hilfe

haste noch was gefunden bei mir oder soll ich nun noch etwas machen?

mfg sain

#5 Hallo@sain

Das Log ist sauber

Hast du die scagent.exe in Windows und in der Registry geloescht ????
__________
MfG Sabina

rund um die PC-Sicherheit

#6 in windows ja, und in der registry....ich weiss net welche du genau meinst, dort gibt es mehrere, zb:

C:\WINDOWS\system32\scagent.exe ---> hab ich gelöscht
Name: 000 Wert:scagent.exe... ----> gelöscht

soll ich denn alles löschen was mit scagent zu tun hat?
oder nur die "scagent.exe"...`?

#7 alles, was mit scagent zu tun hat
__________
MfG Sabina

rund um die PC-Sicherheit

#8 okay, alles klar bin damit nun fertig....jetzt is der pc erstmal wieder fit
vielen dank für deine hilfe nochmal, komme gerne wieder darauf zurück....