Agobot und Konsorte |
||
---|---|---|
#0
| ||
03.01.2004, 17:19
...neu hier
Beiträge: 2 |
||
|
||
03.01.2004, 18:18
Moderator
Beiträge: 7805 |
#2
Ja, da sind mehrere Gao/agobots. Starte deinen Rechner mal im abgesicherten Modus und lasse folgendes "fix"en:
O4 - HKLM\..\Run: [WHVLXD] C:\\WHVLXD.exe O4 - HKLM\..\Run: [WinUpdate] C:\WINNT\System32\mirc.exe O4 - HKLM\..\Run: [CFIMSWZCG] C:\WINNT\CFIMSWZCG.exe O4 - HKLM\..\Run: [MTAH] C:\WINNT\MTAH.exe O4 - HKLM\..\Run: [ivr] winupdate.exe O4 - HKLM\..\RunServices: [ivr] winupdate.exe Dann mit hilfe dieses Links dein Dcom deaktivieren: http://www.kssysteme.de/s_content.php?id=fk2002-02-02-3414#w2kmsds Dann neu starten dein Windows updaen und den Onlinescanner und AVPE nochmal scannen lassen und die Wuermer loeschen. Aber ein format c: ist auch nicht die schlechteste Moeglichkeit, da diese Agobots auch als Backdoor funktionieren koennen und du nie weisst, was sie schon alles bei dir Ausspioniert oder installiert haben. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.01.2004, 08:21
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo Raman
Habe es so gemacht, wie beschrieben. Vielen Dank für Deine Hilfe. Ganz entfernt scheint er aber noch nicht zu sein. Sobald ich auf Ausführen -> Regedit gehe, wird mir die Registry für maximal 10 Sekunden angezeigt und schliesst sich dann automatisch wieder. Ein Versuch war es auf jeden Fall wert. Zumindest konnte ich wieder eine Firewall installieren. Beim Virenscanner bockt das System noch. Ich denke, das ich formatieren werde. Man kann seine Freizeit ja auch schlechter verbringen *gg* Hier mein aktueller Log : Logfile of HijackThis v1.97.7 Scan saved at 08:12:43, on 04.01.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\winupdate.exe C:\WINNT\System32\CTSvcCDA.exe C:\WINNT\System32\svchost.exe C:\WINNT\wanmpsvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\eMail Guard\mailproxy.exe E:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\Sygate\SPF\smc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Outlook Express\msimn.exe C:\download\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [routcnf] E:\Programme\Telekom\Eumex 404PC\routcnf.exe O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [AVGCtrl] e:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [OrbitUpdate] C:\Programme\Orbit\update.exe O4 - HKLM\..\Run: [OrbitView] C:\Programme\Orbit\view.exe O4 - HKLM\..\Run: [eMailGuard] E:\eMail Guard\mailproxy.exe O4 - HKLM\..\Run: [ivr] winupdate.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\RunServices: [ivr] winupdate.exe O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe O4 - Global Startup: CAPIControl.lnk = E:\Programme\Telekom\Eumex 404PC\Capictrl.exe O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Real.com (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.9090625 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E96669B1-D109-461C-8C6C-E1E7D2CFA500}: NameServer = 217.237.159.193 194.25.2.129 Grüße Mike Dieser Beitrag wurde am 04.01.2004 um 08:22 Uhr von tetra editiert.
|
|
|
||
04.01.2004, 09:35
Moderator
Beiträge: 7805 |
#4
Diese beidenEintraege muessten noch raus:
O4 - HKLM\..\Run: [ivr] winupdate.exe O4 - HKLM\..\RunServices: [ivr] winupdate.exe Aber "plattmachen" ist besser! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
Bin neu hier und mittlerweile ziemlich verzweifelt.
Folgendes ist bei mir geschehen:
Vorgestern morgen war ich im WWW ganz normal unterwegs.
Ich hatte während dessen keine Emails abgerufen, noch war ich auf irgendwelchen einschlägigen Seiten.
Habe dann, als ich zum Dienst musste meinen Rechner runtergefahren und das war`s.
Nachmittags wollte meine Frau an den Rechner um im WWW etwas zu suchen.
Sie versuchte sich einzuloggen und Zonealarm verhinderte die komplette Einwahl.
Ich habe dann Abends einen Virenscanner laufen lassen und der meldete mir den Bugbear B.
Dieser wurde dann vom Antivirenprogramm gelöscht.
Ich kann seitdem keine Firewall oder Antivirenprogramme mehr starten.
Ein Onlinescann zeigte mir dann auf ein mal den Agobot.
Gelesen habe ich jetzt viel darüber, aber genutzt hat es mir bisher nichts.
Letzte Rettung seit Ihr.
Ansonsten Format C:.....
Anbei mein Log:
Logfile of HijackThis v1.97.7
Scan saved at 17:03:23, on 03.01.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\winupdate.exe
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\eMail Guard\mailproxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
E:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
D:\AIRPORT\ServInfo\ServInfo.exe
E:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\download\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [routcnf] E:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [WHVLXD] C:\\WHVLXD.exe
O4 - HKLM\..\Run: [AVGCtrl] e:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinUpdate] C:\WINNT\System32\mirc.exe
O4 - HKLM\..\Run: [CFIMSWZCG] C:\WINNT\CFIMSWZCG.exe
O4 - HKLM\..\Run: [MTAH] C:\WINNT\MTAH.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OrbitUpdate] C:\Programme\Orbit\update.exe
O4 - HKLM\..\Run: [OrbitView] C:\Programme\Orbit\view.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [eMailGuard] E:\eMail Guard\mailproxy.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = E:\Programme\Telekom\Eumex 404PC\Capictrl.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.9090625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E96669B1-D109-461C-8C6C-E1E7D2CFA500}: NameServer = 217.237.159.193 194.25.2.129
Vielen Dank schon einmal für Eure Bemühungen.
Mike