Agobot und Konsorte

#0
03.01.2004, 17:19
...neu hier

Beiträge: 2
#1 Hallo Freunde

Bin neu hier und mittlerweile ziemlich verzweifelt.
Folgendes ist bei mir geschehen:

Vorgestern morgen war ich im WWW ganz normal unterwegs.
Ich hatte während dessen keine Emails abgerufen, noch war ich auf irgendwelchen einschlägigen Seiten.
Habe dann, als ich zum Dienst musste meinen Rechner runtergefahren und das war`s.
Nachmittags wollte meine Frau an den Rechner um im WWW etwas zu suchen.
Sie versuchte sich einzuloggen und Zonealarm verhinderte die komplette Einwahl.
Ich habe dann Abends einen Virenscanner laufen lassen und der meldete mir den Bugbear B.
Dieser wurde dann vom Antivirenprogramm gelöscht.

Ich kann seitdem keine Firewall oder Antivirenprogramme mehr starten.
Ein Onlinescann zeigte mir dann auf ein mal den Agobot.
Gelesen habe ich jetzt viel darüber, aber genutzt hat es mir bisher nichts.

Letzte Rettung seit Ihr.
Ansonsten Format C:.....

Anbei mein Log:

Logfile of HijackThis v1.97.7
Scan saved at 17:03:23, on 03.01.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\winupdate.exe
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\eMail Guard\mailproxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
E:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
D:\AIRPORT\ServInfo\ServInfo.exe
E:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [routcnf] E:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [WHVLXD] C:\\WHVLXD.exe
O4 - HKLM\..\Run: [AVGCtrl] e:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinUpdate] C:\WINNT\System32\mirc.exe
O4 - HKLM\..\Run: [CFIMSWZCG] C:\WINNT\CFIMSWZCG.exe
O4 - HKLM\..\Run: [MTAH] C:\WINNT\MTAH.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OrbitUpdate] C:\Programme\Orbit\update.exe
O4 - HKLM\..\Run: [OrbitView] C:\Programme\Orbit\view.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [eMailGuard] E:\eMail Guard\mailproxy.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = E:\Programme\Telekom\Eumex 404PC\Capictrl.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.9090625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E96669B1-D109-461C-8C6C-E1E7D2CFA500}: NameServer = 217.237.159.193 194.25.2.129

Vielen Dank schon einmal für Eure Bemühungen.

Mike
Seitenanfang Seitenende
03.01.2004, 18:18
Moderator

Beiträge: 7805
#2 Ja, da sind mehrere Gao/agobots. Starte deinen Rechner mal im abgesicherten Modus und lasse folgendes "fix"en:
O4 - HKLM\..\Run: [WHVLXD] C:\\WHVLXD.exe
O4 - HKLM\..\Run: [WinUpdate] C:\WINNT\System32\mirc.exe
O4 - HKLM\..\Run: [CFIMSWZCG] C:\WINNT\CFIMSWZCG.exe
O4 - HKLM\..\Run: [MTAH] C:\WINNT\MTAH.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe

Dann mit hilfe dieses Links dein Dcom deaktivieren: http://www.kssysteme.de/s_content.php?id=fk2002-02-02-3414#w2kmsds

Dann neu starten dein Windows updaen und den Onlinescanner und AVPE nochmal scannen lassen und die Wuermer loeschen.

Aber ein format c: ist auch nicht die schlechteste Moeglichkeit, da diese Agobots auch als Backdoor funktionieren koennen und du nie weisst, was sie schon alles bei dir Ausspioniert oder installiert haben.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.01.2004, 08:21
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Raman

Habe es so gemacht, wie beschrieben.
Vielen Dank für Deine Hilfe.

Ganz entfernt scheint er aber noch nicht zu sein.
Sobald ich auf Ausführen -> Regedit gehe, wird mir die Registry für maximal 10 Sekunden angezeigt und schliesst sich dann automatisch wieder.

Ein Versuch war es auf jeden Fall wert.
Zumindest konnte ich wieder eine Firewall installieren.
Beim Virenscanner bockt das System noch.

Ich denke, das ich formatieren werde.
Man kann seine Freizeit ja auch schlechter verbringen *gg*

Hier mein aktueller Log :
Logfile of HijackThis v1.97.7
Scan saved at 08:12:43, on 04.01.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\winupdate.exe
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\eMail Guard\mailproxy.exe
E:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [routcnf] E:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [AVGCtrl] e:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OrbitUpdate] C:\Programme\Orbit\update.exe
O4 - HKLM\..\Run: [OrbitView] C:\Programme\Orbit\view.exe
O4 - HKLM\..\Run: [eMailGuard] E:\eMail Guard\mailproxy.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = E:\Programme\Telekom\Eumex 404PC\Capictrl.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37976.9090625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E96669B1-D109-461C-8C6C-E1E7D2CFA500}: NameServer = 217.237.159.193 194.25.2.129

Grüße

Mike
Dieser Beitrag wurde am 04.01.2004 um 08:22 Uhr von tetra editiert.
Seitenanfang Seitenende
04.01.2004, 09:35
Moderator

Beiträge: 7805
#4 Diese beidenEintraege muessten noch raus:

O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe

Aber "plattmachen" ist besser!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: