moin,
ich hab n dickes problem und brauche eure hilfe!
also ich habe den wurm: worm/agobot 97792.1
wenn man nach dem googelt findet man da nichts.ausser wenn man die zahlen weglässt. mein virenprogramm zeigt den wurm immer als gelöscht an, aber wenn ich den pc hochfahre, dann öffnet sich n fenster. ich schreibe mal:

also da kommen 5 solche vierecke,also unbekannt datein oder so. die 5 dinger konnte nicht gefunden werden. stellen sie sicher, dass sie den namen korrekt eingegeben haben und wiederhohlen sie den vorgang. klicken sie auf start und anschließend suchen, um die datei zu suchen.
das öffnet sich zweimal und dann kommt noch:

oben drüber steht desktop
die in der Registrierung angegebene anwendung (wieder 5 vierecke) konnte nicht gefunden oder gestartet werden. stellen sie sicher, dass die datei vorhanden ist, oder entfernen sie den eintrag auf diese datei aus der registrierung.
das öffnet sich auch zweimal.
und dann öffnet sich noch msconfig.
danach öffnen sich erst meine firewall von norton und antivir.
dazu muss ich noch sagen, dass ich im msconfig was verstellt habe, weil ich denke das der wurm sich mit windows startet,und weil ich nicht weiß was das ist. da habe ich auch die vierecke ausgestellt.wobei das da extrem mehr sind als 5 und mit so komischen zeichen.
ich gebe mal den pfad an:
software\microsoft\windows nt\current version\windows

das ist da zweimal genau das selbe.

und dann ist da noch was mit vierecken.das sind 5 vierecke,die habe ich an gelassen weil da am ende was mit run und load steht.

hkcu\software\microsoft\windows nt\current version\windows:run
hkcu\software\microsoft\windows nt\current version\windows:load

und das wars eigentlich, dann hab ich mir noch HijackThis geholt, und da kam das raus, sagen tut mir das nicht viel.



Logfile of HijackThis v1.99.1
Scan saved at 12:31:56, on 10.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\ISW\ewetel\signup\Tray.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\PEACEM~1\LOKALE~1\Temp\Rar$EX00.794\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.ewetel.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.ewetel.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.ewetel.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ewetel.de/
F3 - REG:win.ini: load=????
F3 - REG:win.ini: run=????
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Programme\Shareaza\Plugins\RazaWebHook.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Download with &Shareaza - res://C:\Programme\Shareaza\Plugins\RazaWebHook.dll/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB978819-1EB0-4EFF-87A6-724D08A33C6B}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe




ich wäre euch wirklich dankbar, wenn mir jemand helfen könnte.
wäre euch auch dankbar wenn ihr das fürn noob schreiben könntet
schonmal danke im vorraus!!!

Wahrscheinlich sind das noch die Autostarteinträge in der Registry, die den Wurm gestartet haben. Da die Dateien, auf die die Einträge verweisen offensichtlich von deinem Virenprogramm entfernt worden sind, meckert Windows, weil es diese Einträg nicht korrekt aufrufen kann.

Es müsste sich dabei um die beiden F3-Einträge handeln.

O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334- 57288578C627} - C:\Programme\Shareaza\Plugins\RazaWebHook.dll

sollte auch gefixt werden.

O17 - HKLM\System\CCS\Services\Tcpip\..\{CB978819-1EB0-4EFF-87A6- 724D08A33C6B}: NameServer = 212.6.108.140 212.6.108.141

Hier bin ich mir nicht sicher, evtl fixen.

Hast du irgendwie www.ewetel.de als Startseite eingerichtet? Wenn du das selbst nicht gemacht hast, kannst du diese Einträge auch fixen.

also ewe ist mein internetanbieter, darum kann ich das ja nicht löschen, glaub ich.
und sharazza ist ein downloadprogramm.
die machen ja keine meldungen. und die F3 einträge weiß ich ja nicht was das ist, und kann ich die ohne probleme löschen?
weil wenn man unter suchen win.ini eingibt findet er da ne textdatei vom media player, glaub ich.
ich poste mal was da kommt.

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo

darum weiß ich jez nicht ob ich das einfach so löschen kann.

Ich hab mich grad nochmal über deinen Schädling informiert. Bei Trendmicro hab ich gelesen, dass die agobot-Familie Backdoor-Funktionen hat... Das ist gar keine gute Nachricht. Lies mal hier.

http://www.trojaner-board.de/showthread.php?t=12154

das heißt das ich mein pc neu machen muss?
das ist gar nicht gut, weil ich den erst vor drei tagen neu gemacht habe
was wäre denn,wenn ich den pc noch drei wochen so lasse,weil ich dann dsl bekomme und mir ein dvd brenner kaufen möchte,damit ich meine daten sichern und behalten kann.
ich bin dir sehr dankbar für diese info!

Zitat:

Zitat von Peacemaker

das heißt das ich mein pc neu machen muss?

Ich zitiere mal aus Cidres Beitrag:

Zitat:

Die einzig sichere Möglichkeit um wieder einen vertrauenswürdigen Zustand herzustellen wäre ein Neuaufsetzen des System mit anschliessender Absicherung.

Was für Schlüsse du für dich daraus ziehst, weiß ich nicht. Außerdem: Wenn du die Kiste vor 3 Tagen neu aufgesetzt hast, kannst du doch noch gar nicht so ewig viele Daten drauf haben, oder?

Nur mal zur deiner Info:

Was man mit Backdoors alles anstellen kann
Warum eine Bereinigung nicht zum Erfolg führen kann:

http://www.mathematik.uni-marburg.de...al.html#sec2.5

naja,n kollege von mir hat ne externe fetplatte, und da hatte ich meine daten drauf gepackt. und weil ich nicht weiß wann er zeit hat, ist das n problem,aber ich hoffe das er bald zeit hat.
und darum habe ich jez meine ganzen daten drauf,die ich vor einer woche drauf hatte.
ich bin euch dankbar für die ganzen infos,ich mach mein pc einfach neu.
thx