Win32/Spy.Agent.HN! |
||
---|---|---|
#0
| ||
11.11.2005, 22:07
...neu hier
Beiträge: 1 |
||
|
||
12.11.2005, 01:20
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@nighthammer
ich empfehle , zu formatieren, der PC ist von einem Wurm mit Backdoorfunktion verseucht. wenn du dennoch reinigen willst: Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen O23 Einträgen! O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SUJN\command.exe O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing) PC neustarten Setze ein Häckchen in das Kästchen vor den genannten Eintrag der als zu "fixen" (löschen) empfohlen wurde) und wähle fix checked. O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\hggge.dll O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll (file missing) O4 - HKLM\..\Run: [msmsgr] msmsgss.exe O4 - HKLM\..\Run: [Microsoft DLL Verifier] csrssv.exe O4 - HKLM\..\RunServices: [msmsgr] msmsgss.exe O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\hr8s05l7e.dll O20 - Winlogon Notify: hggge - C:\WINDOWS\SYSTEM32\hggge.dll PC neustarten 1.) Öffne HijackThis --> Config --> Misc. Tools --> Open process manager 2.) Process wählen 3.) Kill Process anklicken C:\WINDOWS\SUJN\command.exe dann loesche: C:\WINDOWS\SUJN csrssv.exe msmsgss.exe deinstalliere : C:\Programme\TheSearchAccelerator CCleaner http://www.ccleaner.com/ccdownload.asp lösche alle temp-Dateien kopiere hier die 4 Logs http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
habe Problem mit diesem Trojaner Win32/Spy.Agent.HN der in diesem Pfad sitzt C:\WINDOWS\SYSTEM32\hggge.dii, da er sich nicht löschen lässt.
Als Kommentar kommt : Die Datei kann nicht gesäubert, nur elöscht werden.
Es wird unbedingt empfohlen, wichtige Daten zu sichern bevor Sie fortfahren.
Versuch Datei zu öffnen durch:
\??\C:\WINDOWS\system32\winlogon.exe.
Ich benutze den NOD 32 Virenscanner der ihn auch beim Scan findet...dann gehe ich auf den Icon "LÖSCHEN" und klicke es an aber es wird nicht gelöscht sondern es erscheint immer wieder diese Meldung.
Das Virenprogramm lässt sich auch nicht mehr beenden...nur über den Taskmanager kann ich die Anwendung dann beenden!!!!
Nach jedem Neustarte, kommt die Virusmeldung löschen kann ich es aber immer nicht! Was soll ich tun? Brauche Hilfe!
mfg nighthammer
so hier mein erstelltes "HiJackThis Log-File"
Logfile of HijackThis v1.99.1
Scan saved at 23:39:59, on 11.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\SUJN\command.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\tp4mon.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\IBM\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\IBM\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\hggge.dll
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [msmsgr] msmsgss.exe
O4 - HKLM\..\Run: [Microsoft DLL Verifier] csrssv.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [msmsgr] msmsgss.exe
O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\IBM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131704717886
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131706848159
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\hr8s05l7e.dll
O20 - Winlogon Notify: hggge - C:\WINDOWS\SYSTEM32\hggge.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SUJN\command.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe