|
Plagegeister aller Art und deren Bekämpfung: w32/agobot - mein Rechner macht MusikWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.02.2005, 13:41 | #1 |
| w32/agobot - mein Rechner macht Musik Hallo, Bin neu hier und habe meinen ersten Trojaner (sagen wir, der erste, den ich bemerkt habe). Seit etwa zwei Wochen ist meine Internetverbindung arg langsam, aber sonst nichts auffälliges. Nach einer Sytemwiederherstellung auf ein Datum, an dem noch alles funktionierte gab es folgende Effekte: - Musik im Internet immer mal wieder - der nie benutzte nicht angemeldete windows messenger taucht in der Taskleiste auf - ein Prozess SOUNDMAN.EXE läuft und hat Registryeinträge erstellt - die HOSTS.txt ist noch nicht verändert, aber Zugriffe auf Antivirenseiten sind nicht möglich bzw. sehr langsam Bei Sophos steht was von einem W32/Agobot-JS Mein Norton Antivirus findet NICHTS ! Andere Tools (Highjackthis, escan spybot.....) muß ich mir noch besorgen. Was muß ich noch beachten? Hat das Ding was gesendet? Nutze ebanking, paypal, Kreditkarte im Internet. Muß ich alle Passwörter im Internet ändern? Danke für die Hilfe, Kimii |
17.02.2005, 13:52 | #2 |
| w32/agobot - mein Rechner macht Musik Hi,
__________________scanne Dein system mal mit eScan beschreibung unten beachten Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
__________________ |
18.02.2005, 20:19 | #3 |
| mein Rechner macht Musik Hier die Resultate mit EScan und HighJackThis
__________________EScan: Number of files: 98688 Number of viruses: 1 aus mwXface.log: infected by not-a-virus:Tool.Win32.Reboot HighJackThis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 20:06:26, on 18.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\HighJT\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://iredirect.logitech.com/re.php...0&T=1039274227 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe wurde beides im abgesicherten Modus ausgeführt. Was soll ich nun löschen. Danke schon mal im voraus. Kimii |
18.02.2005, 20:39 | #4 | ||||
Administrator, a.D. | w32/agobot - mein Rechner macht Musik Hallo @ Kimii Ich sehe keine Anzeichen von Malware in deinem Log-File. Zitat:
Zitat:
Zitat:
Zitat:
Poste mal den Inhalt der hosts Datei: Start -> Ausführen -> notepad %windir%\System32\Drivers\etc\hosts |
18.02.2005, 20:58 | #5 |
| w32/agobot - mein Rechner macht Musik Hi Cidre, das war wirklich eine schnelle Antwort! Also die Hosts.txt sieht normal aus: => 127.0.0.1 localhost Das mit der Musik ist nicht mehr aufgetreten. War zweimal die gleiche auf unterschiedlichen Seiten. Habe die Windowsfirewall jetzt auf "ohne Ausnahme" gestellt. Bin aber trotzdem verunsichert. Internetverbindung (Modem) ist auch soooo langsam seit kurzem. Vielleicht sollte ich den Rechner einfach neu aufsetzen vorsichtshalber ??? Kimii |
18.02.2005, 21:29 | #6 | |
| w32/agobot - mein Rechner macht Musik @ Kimii Zitat:
__________________ --> w32/agobot - mein Rechner macht Musik |
Themen zu w32/agobot - mein Rechner macht Musik |
.exe, antivirus, confused, ebanking, ellung, escan, folge, gesendet, highjackthis, internetverbindung, karte, kreditkarte, langsam, messenger, musik, neu, nicht möglich, norton, passwörter, paypal, prozess, rechner, seite, seiten, sophos, sytemwiederherstellung, taskleiste, tools, trojaner, träge, verbindung, windows, windows messenger, ändern |