W32/Agobot-BM

Bodi · 01.09.2005, 09:44

Guten morgen!
Habe gestern schon mal gepostet!
Aber weiss jetzt endlich was das für ein Wurm ist!
Der e-Scan Link funzelt net !
Gibts da vielleicht nen anderen Link?
Wie bekomme ich den Wurm wieder weg??
Danke im voraus!

felix1 · 01.09.2005, 09:56

Warum machst Du einen neuen Thread auf? Bleibe in Deinem alten. Hier geht es weiter.
http://www.trojaner-board.de/showthread.php?t=21391
Mit escan musst Du wahrscheinlich Geduld haben. Der Server scheint im Moment wirklich nicht zu laufen. Probiere es später noch einmal.

Doppelpost, bitte löschen.

Beitrag gemeldet.

Bodi · 01.09.2005, 10:03

lässt sich net löschen??
??

Chris14 · 01.09.2005, 10:55

Doch. Allerdings ist es nutzlos diesen zu entfernen. Dein System ist kompromittiert; es ist nicht mehr vertrauenswürdig.
Das liegt daran, dass über den Backdoor bereits eine deiner Systemdateien mit einem bisher unbekannten Trojaner ersetzt werden konnten. Es gibt noch zahlreiche andere Gründe warum und wie da das System dadurch manipuliert werden könnte. Es ist unmöglich festzustellen, was da verändert wurde. Eine Neuinstallation ist also in jedem Fall nötig.
Absicherung des Systems

Rene-gad · 01.09.2005, 11:07

@felix1
@Chris14
Erstmal langsam:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

ist ganz normale WMP - Verbindung.
Auf der Sophos-Seite:

Zitat:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Media Player = wmplayer.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Windows Media Player = wmplayer.exe

Ist doch was anderes, oder?

Chris14 · 01.09.2005, 11:24

?? jetzt wirds kompliziert.. warum heißt der titel dann:
W32/Agobot-BM ? .... und der Titel hört sich verdammt nach ner AV-Scanner Malwarebezeichnung an. Aber OK...

Bodi · 01.09.2005, 11:30

Habe mir jetzt woanders E-Scan gezogen!
Bin gleich soweit!

felix1 · 01.09.2005, 11:33

@All

Ich habe doch garnichts über Format C geschrieben.
http://www.trojaner-board.de/showthread.php?t=21391
Mit dem Hinweis bezüglich escan will ich wissen, was dem System fehlt.
Das etwas da ist, sollte eigentlich unbestritten sein, aber was

Rene-gad · 01.09.2005, 11:45

Zitat:

Zitat von Chris14

jetzt wirds kompliziert.. warum heißt der titel dann:
W32/Agobot-BM ?

Das ist sehr einfach: alles began hier http://www.trojaner-board.com/showthread.php?t=21391

...

Chris14 · 01.09.2005, 12:16

achso^^ der "trojaner/backdoor" wurde im anderen thread identifiziert. daraufhin hat TO aus unbekannten Gründen einen neuen Thread erstellt, statt im anderen weiter zu posten..

ok, und die frage von TO war:

Zitat:

Wo gibts einen funktionierenden eScan-Link?

ok, der hier sollte gehn

felix1 · 01.09.2005, 12:28

Hier ging doch einiges daneben. TO konnte auch nicht wissen, dass das mit dem Löschen für die Boardleitung bestimmt war.

Auf den escan bin ich aber wirklich gespannt.

Bodi · 01.09.2005, 13:30

So!
musste meine Platte neu machen!
Die war komplett tot!
habe eben Formatiert usw
und habe immer noch die dateien in der Registry!
hKEY Local Maschine/SOFTWARE/MICROSOFT/SECURITY CENTER
sind folgende dateien!:::

Antivirus DisabledN
AntiVirus Override
Firewall DisabledNO
Firewall Override
FirstRun Disabled
Ubdates Disabled

Schaut mal bitte bei euch nach ob die einträge normal sind!
Spybot hat ja auch Alarm geschlagen

felix1 · 01.09.2005, 14:18

Zitat:

Zitat von Bodi

Antivirus DisabledN
AntiVirus Override
Firewall DisabledNO
Firewall Override
FirstRun Disabled
Ubdates Disabled

Die Einträge sollten normal sein. Habe sie auch.

Was hat Spybot denn gefunden, bestimmt Alexa

stupormundi · 01.09.2005, 14:23

@all: was ist denn nu der aktuelle thread
http://www.trojaner-board.de/showthread.php?t=21391
ode der hier?

Chris14 · 01.09.2005, 14:34

momentan der hier. aber ich denke das ein mod vielleicht beide threads zusammenfügen wird

01.09.2005, 09:56	#2
felix1 /// Helfer-Team	W32/Agobot-BM Warum machst Du einen neuen Thread auf? Bleibe in Deinem alten. Hier geht es weiter. http://www.trojaner-board.de/showthread.php?t=21391 Mit escan musst Du wahrscheinlich Geduld haben. Der Server scheint im Moment wirklich nicht zu laufen. Probiere es später noch einmal. Doppelpost, bitte löschen. Beitrag gemeldet. __________________

01.09.2005, 11:33	#8
felix1 /// Helfer-Team	W32/Agobot-BM @All Ich habe doch garnichts über Format C geschrieben. http://www.trojaner-board.de/showthread.php?t=21391 Mit dem Hinweis bezüglich escan will ich wissen, was dem System fehlt. Das etwas da ist, sollte eigentlich unbestritten sein, aber was

01.09.2005, 12:28	#11
felix1 /// Helfer-Team	W32/Agobot-BM Hier ging doch einiges daneben. TO konnte auch nicht wissen, dass das mit dem Löschen für die Boardleitung bestimmt war. Auf den escan bin ich aber wirklich gespannt.

W32/Agobot-BM

Log-Analyse und Auswertung: W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

W32/Agobot-BM

Ähnliche Themen: W32/Agobot-BM

01.09.2005, 09:44	#1
Bodi	W32/Agobot-BM Guten morgen! Habe gestern schon mal gepostet! Aber weiss jetzt endlich was das für ein Wurm ist! Der e-Scan Link funzelt net ! Gibts da vielleicht nen anderen Link? Wie bekomme ich den Wurm wieder weg?? Danke im voraus!

01.09.2005, 10:03	#3
Bodi	W32/Agobot-BM lässt sich net löschen?? ?? __________________

01.09.2005, 11:24	#6
Chris14	W32/Agobot-BM ?? jetzt wirds kompliziert.. warum heißt der titel dann: W32/Agobot-BM ? .... und der Titel hört sich verdammt nach ner AV-Scanner Malwarebezeichnung an. Aber OK...

01.09.2005, 11:30	#7
Bodi	W32/Agobot-BM Habe mir jetzt woanders E-Scan gezogen! Bin gleich soweit!

01.09.2005, 14:23	#14
stupormundi	W32/Agobot-BM @all: was ist denn nu der aktuelle thread http://www.trojaner-board.de/showthread.php?t=21391 ode der hier?

01.09.2005, 14:34	#15
Chris14	W32/Agobot-BM momentan der hier. aber ich denke das ein mod vielleicht beide threads zusammenfügen wird