![]() |
|
Log-Analyse und Auswertung: auweh... alles versucht: mittel gegen neuen backdoor.agent.btWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
| ![]() auweh... alles versucht: mittel gegen neuen backdoor.agent.bt hallo, nachdem ich nun 2tage lang alles versucht habe und escan mir untenstehnde viren ausspuckt, ich aber weder eine alte version von escan gefunden habe, noch mit kaspersky und co erfolgreich war, wollte ich fragen, ob sich jemand mein log-file anschauen kann und mir sagen was ich killen muss...? wäre extrem super... Logfile of HijackThis v1.98.2 Scan saved at 14:47:53, on 30.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: H:\WINDOWS\System32\smss.exe H:\WINDOWS\system32\winlogon.exe H:\WINDOWS\system32\services.exe H:\WINDOWS\system32\lsass.exe H:\WINDOWS\system32\Ati2evxx.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\system32\S24EvMon.exe H:\WINDOWS\system32\rundll32.exe H:\WINDOWS\system32\spoolsv.exe H:\Programme\AVPersonal\AVGUARD.EXE H:\Programme\Apache Group\Apache2\bin\Apache.exe H:\Programme\AVPersonal\AVWUPSRV.EXE H:\Program Files\MKS\Bin\NetMonSv.exe H:\Programme\Apache Group\Apache2\bin\Apache.exe H:\WINDOWS\system32\ZCfgSvc.exe H:\WINDOWS\Explorer.EXE H:\Program Files\MKS\Bin\mksmonsv.exe H:\Programme\QuickTime\qttask.exe H:\WINDOWS\SOUNDMAN.EXE H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe H:\Programme\iTunes\iTunesHelper.exe H:\Programme\AVPersonal\AVGNT.EXE H:\Program Files\MKS\Bin\mks_menu.exe H:\Programme\Eset\nod32kui.exe H:\Programme\Babylon\Babylon.exe H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\program files\InterMute\SpySubtract\SpySub.exe H:\Programme\Eset\nod32krn.exe H:\WINDOWS\system32\RegSrvc.exe H:\PROGRA~1\ICQ\ICQ.exe H:\Programme\iPod\bin\iPodService.exe H:\WINDOWS\system32\1XConfig.exe H:\WINDOWS\system32\wuauclt.exe H:\Program Files\MKS\Bin\mks_virw.exe H:\Program Files\MKS\Bin\mks_scan.exe H:\Programme\Internet Explorer\IEXPLORE.EXE H:\Programme\Microsoft Office\Office\OUTLOOK.EXE H:\DOKUME~1\ace\LOKALE~1\Temp\mwavscan.com H:\DOKUME~1\ace\LOKALE~1\Temp\kavss.exe H:\Dokumente und Einstellungen\ace\Desktop\hijackthis_198\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/Dokumente%20und%20Einstellungen/ace/Eigene%20Dateien/logos/startseite.html O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PRONoMgr.exe] H:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Mirabilis ICQ] H:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] H:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MKS_MENU] H:\Program Files\MKS\Bin\mks_menu.exe O4 - HKLM\..\Run: [nod32kui] "H:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [Babylon Translator] H:\Programme\Babylon\Babylon.exe O4 - HKCU\..\Run: [SpySweeper] "H:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe O8 - Extra context menu item: &Google Search - res://H:\Programme\Google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Edit with Altova X&MLSpy - H:\Programme\Altova\XMLSpy2005\spy.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://H:\Programme\Google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://H:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - H:\Programme\Altova\XMLSpy2005\spy.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at O17 - HKLM\System\CCS\Services\Tcpip\..\{CB36EA12-B560-49B5-8436-5FB8CA47640C}: NameServer = 195.34.133.10,195.34.133.11 O17 - HKLM\System\CCS\Services\Tcpip\..\{FA9F5934-03B2-4BD5-B888-C302D494F447}: NameServer = 195.34.133.10,195.34.133.11 hier mein escan log: File H:\WINDOWS\system32\wincoreak.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken. File H:\WINDOWS\system32\winrulesak.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: No Action Taken. File H:\WINDOWS\system32\winupdak.dll infected by "TrojanDownloader.Win32.Agent.br" Virus. Action Taken: No Action Taken. File H:\DOKUME~1\ace\LOKALE~1\TEMPOR~1\Content.IE5\KX67K12F\Setup(1-gmr-0-0-,AT)[1].exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken. bei kaspersky wird der rechner total langsam und es bleibt schließlich bei einer datei hängen deren namen ich jetzt nimmer weiss, aber eigentlich auch ein virus ist...... wenn ich diese datei löschen will geht das nicht, im abgesichterten modus existiert sie nicht.... cwwshredder findet den cww.bootconf... löscht ihn, nach fünf miunten ist er wieder da.... es waren auch schon escans dabei in der dateien wie akrules.dll und akupd.dll mit viren verseucht waren=>ähnliches problem wie oben, wollte die dateien löschen ging nicht, im abgesicherten modus nimma da. hoster kann zwar die datei fixen, aber nur kurz. search&destroy findet dso exploit, igetnet ein paar cwwsearches, kann diese aber wieder nur kurz eliminieren auch nod32 etc... schaffen nix.... hat wer eine ahnung oder muss ich mir escan kaufen? bidde nich.. autoamtische hijack überprüfung bringt auch nix gscheites.. INFOS: bs: leider noch xp, sp2, MIR scheint es so, als ob dieser agent.bt so eine art muttertrojaner ist der mehrere mit sich bringt oder herunterlädt... diese kann man (ich) dann relativ einfach herunterlöschen, aber nur kurzfristig, weil sie beim nächsten check wieder da sind. DANKE?! raphael |
Themen zu auweh... alles versucht: mittel gegen neuen backdoor.agent.bt |
.inf, abgesicherten modus, adobe, babylon, content.ie5, desktop, dll, einstellungen, explorer, frage, google, hijack, hijackthis, hängen, internet, internet explorer, kaspersky, langsam, log-file, mehrere, pdf, problem, programme, rundll, software, sun java, system, tcpip, temp, viren, webroot, windows, windows messenger, windows xp |