*http://default.home*/TASKMGRU.EXE<-->Trojan.Win32.Agent.cx

#16 Incident Status Location
Adware:Adware/SaveNow No disinfected Windows Registry
Adware:Adware/SBSoft No disinfected C:\Dokumente und Einstellungen\AcoN\Anwendungsdaten\SBSoft
Adware:Adware/Startpage.NA No disinfected Windows Registry
Adware:Adware/P2PNetworking No disinfected C:\WINDOWS\System32\P2P Networking
Possible Virus. No disinfected C:\Programme\EA Games\Battlefield 1942\fpupdate.exe
Possible Virus. No disinfected D:\Eigene Dateien in D\Downloads\BF 1942\BATTLEFIELD\BF1942.exe
Possible Virus. No disinfected D:\Eigene Dateien in D\Downloads\BF 1942\BATTLEFIELD.1942.12.ENG.LINEZERO.NOCD.zip[BF1942.exe]

#17 AcoN

C:\Dokumente und Einstellungen\AcoN\Anwendungsdaten\SBSoft<--loeschen

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

#RegCleaner (Deutsch)
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html
__________
MfG Sabina

rund um die PC-Sicherheit

#18

Zitat

Sabina postete
no_idea

START-->AUSFUEHREN-->regedit

Loesche: OFF

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe.OFF
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe.OFF
HKEY_USERS\S-1-5-21-436374069-573735546-725345543-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}.OFF


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll
O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE
O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\ghj
C:\WINNT\explorer32dbg.exe
C:\WINNT\iexplore_dbg.exe
C:\WINNT\ghj.exe
C:\WINNT\stlbd.dll
C:\WINNT\bhoass.dll
C:\WINNT\System32\TASKMGRU.EXE
C:\WINNT\System32\MSIMN32.EXE

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp
http://bilder.informationsarchiv.net/Nikita_sintra/cleaner.gif

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
-------------

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

__________
MfG Sabina

rund um die PC-Sicherheit

#19 hallo sabina. vielen dank für die schnelle hilfestellung!

hier ist meine escan-auswertung:

Tue Apr 26 23:36:21 2005 => File C:\WINNT\system32\TASKMGRU.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:21 2005 => File C:\WINNT\system32\MSIMN32.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:22 2005 => File C:\WINNT\bhoass.dll infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:27 2005 => File C:\WINNT\explorer32dbg.exe infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:27 2005 => File C:\WINNT\iexplore_dbg.exe infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:31 2005 => File C:\WINNT\system32\MSIMN32.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:31 2005 => File C:\WINNT\system32\TASKMGRU.EXE infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:40 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Tue Apr 26 23:36:40 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:40 2005 => System found infected with powerscan Spyware/Adware! Action taken: No Action Taken.

Tue Apr 26 23:36:40 2005 => File System Found infected by "powerscan Spyware/Adware" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:40 2005 => System found infected with power scan Spyware/Adware! Action taken: No Action Taken.

Tue Apr 26 23:36:40 2005 => System found infected with ist Spyware/Adware! Action taken: No Action Taken.

Tue Apr 26 23:36:40 2005 => File System Found infected by "ist Spyware/Adware" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:42 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.

Tue Apr 26 23:36:42 2005 => File System Found infected by "WindUpdate Spyware/Adware" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:44 2005 => File C:\WINNT\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:36:46 2005 => File C:\WINNT\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:38:40 2005 => File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Win32.Agobot.abf" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:39:12 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiSpyInfo\bhoass.dll.q_1C38400_q infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:39:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiSpyInfo\MSIMN32.EXE.q_63A7A00_q infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:39:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiSpyInfo\newdotnet3_88.dll.q_AA99002_q infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:39:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiSpyInfo\MSIMN32.EXE.q_63A7A00_q infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.


Tue Apr 26 23:39:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiSpyInfo\newdotnet3_88.dll.q_AA99002_q infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:39:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiSpyInfo\TASKMGRU.EXE.q_63A7A00_q infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:39:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiSpyInfo\whiehlpr.dll.q_16C0A001_q infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:39:13 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiSpyInfo\WToolsB.dll.q_1F4BEA02_q infected by "not-a-virus:AdWare.Wintol.t" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:40:01 2005 => File C:\Dokumente und Einstellungen\knut1\Desktop\backups\backup-20050426-224156-158.dll infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:40:02 2005 => File C:\Dokumente und Einstellungen\knut1\Desktop\backups\backup-20050426-224236-705.dll infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:40:02 2005 => File C:\Dokumente und Einstellungen\knut1\Desktop\backups\backup-20050426-224906-624.dll infected by "Trojan.Win32.Agent.cx" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:41:08 2005 => File C:\explorer.cab infected by "Trojan-Downloader.Win32.Small.or" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:41:08 2005 => File C:\info6_s.cab infected by "Trojan.Win32.Dialer.t" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:43:47 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Tue Apr 26 23:43:47 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR

Tue Apr 26 23:43:47 2005 => File C:\Programme\AVPersonal\INFECTED\WLDR.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.le" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:43:47 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\WToolsA.VIR

Tue Apr 26 23:43:47 2005 => File C:\Programme\AVPersonal\INFECTED\WToolsA.VIR infected by "not-a-virus:AdWare.Wintol.t" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:43:47 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\WToolsA.VIR00

Tue Apr 26 23:43:47 2005 => File C:\Programme\AVPersonal\INFECTED\WToolsA.VIR00 infected by "not-a-virus:AdWare.Wintol.t" Virus. Action Taken: No Action Taken.

Tue Apr 26 23:46:20 2005 => File C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe infected by "not-a-virus:AdWare.Wintol.t" Virus. Action Taken: No Action Taken.

Wed Apr 27 00:05:51 2005 => File C:\WINNT\Downloaded Program Files\HDPlugin1101.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken.

Wed Apr 27 00:05:52 2005 => File C:\WINNT\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

Wed Apr 27 00:09:38 2005 => File C:\WINNT\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Wed Apr 27 00:11:28 2005 => File C:\WINNT\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.

Wed Apr 27 00:16:29 2005 => File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Win32.Agobot.abf" Virus. Action Taken: No Action Taken.

Wed Apr 27 00:32:29 2005 => File C:\WINNT\Downloaded Program Files\HDPlugin1101.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken.

Wed Apr 27 00:32:29 2005 => File C:\WINNT\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.






Wed Apr 27 00:35:37 2005 => Total Objects Scanned: 44708
Wed Apr 27 00:35:37 2005 => Total Virus(es) Found: 37
Wed Apr 27 00:35:37 2005 => Total Disinfected Files: 0
Wed Apr 27 00:35:37 2005 => Total Files Renamed: 0
Wed Apr 27 00:35:37 2005 => Total Deleted Objects: 0
Wed Apr 27 00:35:37 2005 => Total Errors: 62
Wed Apr 27 00:35:37 2005 => Time Elapsed: 00:59:31

Wed Apr 27 00:35:37 2005 => ***** Scanning complete. *****
Wed Apr 27 00:35:37 2005 => Virus Database Date: 2005/04/25
Wed Apr 27 00:35:37 2005 => Virus Database Count: 127328

Wed Apr 27 00:35:37 2005 => Scan Completed.
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Hallo@no_idea

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\MSIMN32.EXE
C:\WINNT\bhoass.dll
C:\WINNT\explorer32dbg.exe
C:\WINNT\iexplore_dbg.exe
C:\WINNT\NDNuninstall6_38.exe
C:\WINNT\stlbd.dll
C:\WINNT\system32\winhlpp32.exe
C:\explorer.cab
C:\info6_s.cab
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\WINNT\Downloaded Program Files\HDPlugin1101.dll
C:\WINNT\Downloaded Program Files\webdlg32.dll

PC neustarten

•Desinfektion von W32/Agobot
Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen)
http://bilder.informationsarchiv.net/Nikitas_Tools/agobtgui.com


dann scanne mit pandawenn dein Antivirus"meckert"--> nicht beachten

•Online-Scann (Panda)-->berichte vom Scann
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hallo@Sabina

2 fragen:

wo muss ich mich denn als Administrator anmelden um mit agobtgui.com richtig zu scannen?

und

wie muss ich die active x steuerelemente einstellungen verändern um panda runter laden zu können??



danke, thomas