Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Evt.Agbot Virus?könnt ihr euch das mal ansehn,komme nicht weiter (https://www.trojaner-board.de/16527-evt-agbot-virus-euch-mal-ansehn-komme.html)

Doomer_ac 11.04.2005 11:46

Evt.Agbot Virus?könnt ihr euch das mal ansehn,komme nicht weiter
 
:huepp:
Wäre super wenn jemand sich das mal unter die Lupe nehmen könnte habe verdacht auf Agbot virus.wie fix ich den?

(falls jemand bock und zeit hat) danke euch


DAnke euch viel mals

grüsse aus der schweiz :bussi:

Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 12:44:05, on 11.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINNT\System32\svchost.exe
C:\WINNT\winx32host.exe
C:\WINNT\system32\msnmssgc.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Security Task Manager\TaskMan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Programme\ASUS\Ai Booster\OverClk.exe"
O4 - HKLM\..\Run: [iTurbo] "C:\Programme\HIS iTurbo\iTurbo.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Aneixir] bujelyx.exe
O4 - HKLM\..\Run: [b1dfus28] bifuse28.exe
O4 - HKLM\..\Run: [Vidiceluc] igeral.exe
O4 - HKLM\..\RunServices: [Aneixir] bujelyx.exe
O4 - HKLM\..\RunServices: [b1dfus28] bifuse28.exe
O4 - HKLM\..\RunServices: [Vidiceluc] igeral.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB0_0_0
O4 - HKCU\..\Run: [Aneixir] bujelyx.exe
O4 - HKCU\..\Run: [b1dfus28] bifuse28.exe
O4 - HKCU\..\Run: [Vidiceluc] igeral.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: txhzchr - Unknown owner - \\217.162.55.24\D$\nvsvc.exe" -service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

FancyAndy 11.04.2005 11:52

Zitat:

habe verdacht auf Agbot virus.wie fix ich den?
In dem Du Dein System neu aufsetzt, alles andere ist Flickwerk !!!!!

Aber zurück zum Log :

Scan mal bitte :
C:\WINNT\winx32host.exe

bei Jotti

Auch diese Einträge :

O4 - HKLM\..\Run: [Aneixir] bujelyx.exe
O4 - HKLM\..\Run: [b1dfus28] bifuse28.exe
O4 - HKLM\..\Run: [Vidiceluc] igeral.exe
O4 - HKLM\..\RunServices: [Aneixir] bujelyx.exe
O4 - HKLM\..\RunServices: [b1dfus28] bifuse28.exe
O4 - HKLM\..\RunServices: [Vidiceluc] igeral.exe

Kommen mir verdächtig vor !!!

Scan mal Dein System mittels eScan (siehe Signatur), poste das Log bzw. den Teil, den Du bekommst, wenn Du nach "Infected" suchst [also was wann wie wo gefunden wurde - die Heuristic, so schimpft sich das].

Wir sehen dann mal weiter.

Gruß
Andy :daumenhoc

dartus 11.04.2005 11:53

Hallo,

lass bitte folgende Dateien:

C:\WINNT\winx32host.exe
C:\WINNT\system32\msnmssgc.exe

hier online scannen:

http://virusscan.jotti.org/de

Teile das jeweilige Ergebnis mit.

dartus

FancyAndy 11.04.2005 11:58

@dartus :

Wieso wiederholst du 50 % von dem was ich gesagt habe ? *g* :confused:

Außerdem ist eScan in Anbetracht der o.g. Dateien unumgänglich....

dartus 11.04.2005 12:03

Sorry ;) ,

konnte leider nicht ahnen, das Du auch etwas schreibst.

dartus

FancyAndy 11.04.2005 12:06

Zitat:

Zitat von dartus
Sorry ;) ,

konnte leider nicht ahnen, das Du auch etwas schreibst.

dartus

Sorry buddy *g* zum 3.11. spendiere ich Dir nen Schreibmaschienen Tip Kurs *g* 2 tage später kannste mir dann auch was schenken :P:P:P :heilig:

Doomer_ac 11.04.2005 18:11

Danke euch habe mal ein paar Daten bei Jotti gescannt.

C:\WINNT\winx32host.exe

Ergebniss:
Auslastung:
0% 100%
Datei: winx32host.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
UPACK

AntiVir
Worm/Mytob.gen gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Backdoor.SDBot.1F0D93C0 gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Backdoor.Win32.SdBot.gen gefunden
mks_vir
Keine Viren gefunden
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
Keine Viren gefunden
VBA32
Keine Viren gefunden

Doomer_ac 11.04.2005 18:15

Und noch diese Datei.

C:\WINNT\system32\msnmssgc.exe

Ergebniss:

Datei: msnmssgc.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
FSG

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Win32.P2P.SpyBot.2326CD98 gefunden
ClamAV
Trojan.SdBot.Gen-122 gefunden
Dr.Web
Win32.HLLW.MyBot.based gefunden
F-Prot Antivirus
unknown virus gefunden (mögliche Variante)
Fortinet
W32/SDBot.fam-net gefunden
Kaspersky Anti-Virus
Backdoor.Win32.SdBot.gen gefunden
mks_vir
Trojan.Sdbot.Gen gefunden
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
W32/SDBot.DSS gefunden
VBA32
Keine Viren gefunden

dartus 11.04.2005 19:29

Hallo Doomer_ac,

das Ergebnis war zu erwarten:
http:/ /www.virenschutz.info/antivirus-152.html

Die drei anderen scheinen von ähnlicher Qualität zu sein.

Bereits bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zu Neuinstallation geraten,
um das zu vermeiden:
http://www.trojaner-board.de/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689
http://en.wikipedia.org/wiki/Botnet

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus

Doomer_ac 11.04.2005 21:05

Tjo doch leider ist ein neuaufsetzen des Systems überhaupt nicht möglich der Datenverlust wäre unersetzlich..gibt es keine Humanere variante?

Chris14 11.04.2005 21:09

wieso datenverlust? brenn doch alle daten auf ne dvd oder cd's. und nein, es gibt keine gescheide weitere möglichkeit.

Haui45 11.04.2005 21:12

Zitat:

Zitat von Doomer_ac
Tjo doch leider ist ein neuaufsetzen des Systems überhaupt nicht möglich

Tjo leider ist das die einzige Möglichkeit um wieder einen vertrauenswürdigen Zustand herzustellen.

Zitat:

Zitat von Doomer_ac
der Datenverlust wäre unersetzlich.

Lutz über Datensicherung (auf ausführbare Dateien würde ich jedoch ganz verzichten)
Ansonsten, so hart es klingen mag: "Pech gehabt"

Zitat:

Zitat von Doomer_ac
gibt es keine Humanere variante?

Nein.
Zitat:

Q: Warum ist eine Bereinigung des kompromittierten Systems
durch Removal-Tools und AV Scanner nicht sinnvoll?
Antwort steht hier.

Cidre 11.04.2005 22:49

Zitat:

der Datenverlust wäre unersetzlich.
btw:
Was machst du z.B. bei einem Festplatten-Defekt?!

Merke:
Nicht gesicherte Daten sind verlorene Daten!

Doomer_ac 12.04.2005 18:09

Hab rasch neuaufgesetz da ich ja 2HD`s habe konnte ich ein "Teil"der Daten saven,es scheint als seien die Viren weg..
komisch wie die darauf gekommen waren,hatte Anti-Vir6.0und Zone Alarm als Firewall wahrscheindlich dur das BTT.
*selberschuld*

Danke euch allen,super Hilfe und sehr schnell

Grüsse aus der Schweiz :aplaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131