Viren/Trojaner Alarm "agobot.33.U" wird angezeigt

Pünktchen · 23.11.2004, 19:35

hallo,

bin neu hier, und richte mich auch auf schelmische kommentare ein. ich bin einabsoluter nicht-profi für pc. Gebts's mir nur...

Problem:
beim starten wird angezeigt: agobot.33.U...Virenalarm schlägt an, ist aber mittels AVG nicht 'removable'.

desweiteren will wsxsvc.exe und btv und webrebates0 online...
die habe ich jetzt mal rausgelöscht...war ne menge arbeit mit spybot und hijackthis...

und AVG zeigt an: keenval A und B und trallala sind infektet...

ich würd ja jetzt gerne diese liste hier anzeigen...bloß wie kopiere ich die rüber?

lacht's ned, helft mir lieber!
auf jeden fall danke, egal ob die hilfe nützlich war ist oder nicht!

Cidre · 23.11.2004, 19:39

Hallo,

öffne das hijackthis.log -> Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (hier in den Thread einfügen)

cacatoa · 23.11.2004, 19:41

Zitat:

beim starten wird angezeigt: agobot.33.U...Virenalarm schlägt an, ist aber mittels AVG nicht 'removable'.

das könnte logisch sein, weil der Wurm versucht, Sicherheitsprozesse und Antiviren-Programme auszuschalten.

Aber wie ich sehe, ist cidre auch drüber, da bist Du in besten Händen!

Pünktchen · 23.11.2004, 20:02

ähm....ich kann nicht mal einzelne zeilen kopieren im fenster von kijack....

weil ich netscape benutze?

MountainKing · 23.11.2004, 20:11

Wenn du mit HJT gescannt hast, musst du die Option "save log" verwenden, daraufhin wird alles in einer logdatei abgespeichert, die dann auch geöffnet wird, nachdem du den pfad zum Speicher angewählt hast. Aus dieser Datei dann wie Cidre schrieb alles kopieren und hier in einen Thread einfügen. Netscape hat damit nichts zu tun. Siehe auch hier:

http://www.trojaner-board.de/51130-a...ijackthis.html

Pünktchen · 23.11.2004, 20:21

ich danke für eure geduld!!

O1 - Hosts: 62.189.6.85 _sip._tls.sip5.phoneserve.com
O1 - Hosts: 62.189.6.85 _sip._ssl.sip5.phoneserve.com
O1 - Hosts: 62.189.6.86 _sip._tls.sip6.phoneserve.com
O1 - Hosts: 62.189.6.86 _sip._ssl.sip6.phoneserve.com
O1 - Hosts: 62.189.6.93 _sip._tls.sip7.phoneserve.com
O1 - Hosts: 62.189.6.93 _sip._ssl.sip7.phoneserve.com
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWay\SearchAt\1.bin\MWSSRCAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWay\bar\1.bin\MWSBAR.DLL
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINNT\system32\BhoECart.dll
O2 - BHO: WindowsIE.clsIS - {2E12B523-3D4C-4FAC-9B04-0376A8F5E879} - c:\winnt\WindowsIE.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IExplorr29.clsIS - {54ED9B49-81D1-4866-95A6-30F01DE0047E} - c:\winnt\iexplorr29.dll
O2 - BHO: IExplorr26.clsIS - {90E34F98-E3E6-4CD7-A592-E964FED8AF78} - c:\winnt\iexplorr26.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: IExplorr27.clsIS - {94326E3F-F51F-4863-A832-4ACD0D7D4BC3} - c:\winnt\iexplorr27.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWay\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programme\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: 411 Ferret Toolbar - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - C:\Programme\411Ferret\toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [ICQ Net] C:\WINNT\system32\dllcache\WINLOGON.EXE -stealth
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [CmCardRun] C:\WINNT\system32\CmWatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [routcnf] E:\routcnf.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [AdRoarUpdate] C:\WINNT\ARUpdate.exe
O4 - HKLM\..\Run: [Sys Ren] C:\WINNT\SysRen.exe /S
O4 - HKLM\..\Run: [vmss] C:\WINNT\system32\vmss\vmss.exe
O4 - HKLM\..\Run: [SaferSurf Active] C:\Programme\SaferSurf Setup\SaferSurf Active.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Programme\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Yahoo! Pager] E:\MESSEN~1\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SaferSurf FileSharing] C:\Programme\SaferSurf FileSharing\SaferSurf-FileSharing.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &411 Ferret Toolbar search - res://C:\Programme\411Ferret\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Starten von Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\MESSEN~1\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\MESSEN~1\MESSEN~1\YPager.exe
O16 - DPF: {01CA75F1-054B-4A63-9221-C6926369EC52} (HS_live Control) - http://install.homestead.com/~site/I...ve/HS_live.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.6.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {555500CD-CB54-11D6-8DB9-0000864598B3} (Diagmgr Class) - http://instantsupport.europe.hp.com/...iagManager.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/14a3bc946dafe00...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8A8F3D75-6564-4599-A7DC-313B43A89E1D} (AdInstaller Control) - http://www.kazaa.net.cn/digital/AdInstaller.ocx
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://webcamnow.com/broadcast/ActiveXWebCam.cab
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDD12F81-B24B-497A-AD8C-D40107EFD5B1}: NameServer = 192.168.0.1

Pünktchen · 23.11.2004, 20:22

Logfile of HijackThis v1.98.2
Scan saved at 20:16:36, on 23.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.Exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe
C:\WINNT\system32\CmWatch.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\Winamp\Winampa.exe
C:\Program Files\BTV\btv.exe
C:\WINNT\system32\wsxsvc\wsxsvc.exe
C:\WINNT\system32\vmss\vmss.exe
C:\Programme\SaferSurf Setup\SaferSurf Active.exe
C:\WINNT\system32\internat.exe
C:\Programme\Netscape\Netscp.exe
C:\Programme\SaferSurf FileSharing\SaferSurf-FileSharing.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
E:\MESSEN~1\MESSEN~1\ymsgr_tray.exe
C:\Programme\Winamp\winamp.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\WOLF~1.LUX\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rd.yahoo.com/customize/ymsgr/.../www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rd.yahoo.com/customize/ymsgr/...ch/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy10.safersurf.com:7779;ftp=proxy10.safersurf.com:7779
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;chat.de;chat-net.org
R3 - URLSearchHook: 411 Ferret Toolbar - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - C:\Programme\411Ferret\toolbar.dll
F2 - REG:system.ini: Shell=C:\WINNT\Explorer.Exe

Cidre · 23.11.2004, 20:27

Dein Log-File ist nich vollständig, stelle deshalb die Schriftgrösse deines Posts auf 1.

Pünktchen · 23.11.2004, 20:32

habss auf zwei einträge verteilt :-)

Shadowdance · 23.11.2004, 22:02

@ Pünktchen

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINNT\System32\SCardSvr.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\CmWatch.exe
C:\WINNT\system32\wsxsvc\wsxsvc.exe
C:\WINNT\system32\vmss\vmss.exe
C:\Programme\SaferSurf Setup\SaferSurf Active.exe
C:\Programme\SaferSurf FileSharing\SaferSurf-FileSharing.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\411Ferret\toolbar.dll
C:\Programme\T-Com\Sinus 154 data
C:\PROGRA~1\COPERN~1\COPERN~1.EXE

teile uns das Ergebnis der Überprüfung mit.

SD

Pünktchen · 24.11.2004, 00:22

danke für diese hilfestellung!

heraus kam folgendes:

vmss.exe
Status:
POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)

Shadowdance · 24.11.2004, 02:48

Hallo Pünktchen,

wo ist Anton .. ehm ;-) ich meine, wo ist der Rest? Es waren doch ne ganze Menge Dateien, die ich Dich gebeten hatte zu überprüfen? Und, wir sind noch lange nicht mit Dir fertig, das war nur der Anfang. Poste bitte noch das Ergebnis der Überprüfung der anderen Dateien und dann sende bitte diese Dateien:

C:\WINNT\System32\SCardSvr.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\CmWatch.exe
C:\WINNT\system32\wsxsvc\wsxsvc.exe
C:\WINNT\system32\vmss\vmss.exe

C:\Programme\411Ferret\toolbar.dll

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken.

Wenn Du dies erledigt hast, geht's weiter ....

SD

Pünktchen · 24.11.2004, 10:21

nur diese eine datei wurde nicht mit 'ok' angezeigt.
der rest war einwandfrei....

passortgeschützt???? was, mein account?

und anton, den hab ich flach gemacht..lach

Pünktchen · 24.11.2004, 11:52

ok..gezippt weitergeschickt an die adressen! :-)

Shadowdance · 24.11.2004, 14:47

danke für die Mitarbeit @ Pünktchen.

Nun kommen wir zum härteren Teil. Du hast eine größere Menge Malware auf dem System, was genau weiss ich noch nicht. Es kann sein, dass Du Deinen Rechner formatieren mußt. Das ist abhängig von der Art der Viren, die nun auf Deinem System gefunden werden. Man kann Viren zwar löschen, aber das allein reicht in manchen Fällen nicht aus. Dies mal vorab, um Dich mehr oder weniger schonend auf einen eventuellen Schock vorzubereiten: Entfernung von Schädlingen und Kompromittierung unvermeidbar?.

--> Um herauszufinden, ob und welche Malware sich auf Deinem Rechner befindet, lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen die Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt.

SD

23.11.2004, 19:39	#2
Cidre Administrator, a.D.	Viren/Trojaner Alarm "agobot.33.U" wird angezeigt Hallo, öffne das hijackthis.log -> Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (hier in den Thread einfügen) __________________ __________________

23.11.2004, 20:27	#8
Cidre Administrator, a.D.	Viren/Trojaner Alarm "agobot.33.U" wird angezeigt Dein Log-File ist nich vollständig, stelle deshalb die Schriftgrösse deines Posts auf 1. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Viren/Trojaner Alarm "agobot.33.U" wird angezeigt

Plagegeister aller Art und deren Bekämpfung: Viren/Trojaner Alarm "agobot.33.U" wird angezeigt