Agobot eingefangen
 

Moin
Zone Alarm Pro hat heute diese Meldung rausgegeben:

http://img301.imageshack.us/my.php?image=zadw6.jpg

HiJackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:10:09, on 09.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Zone Labs\ZoneAlarm\zlclient.exe
D:\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Uptime\client.exe
D:\HDD Thermometer\HDD Thermometer.exe
D:\QIP\qip.exe
D:\Xfire\Xfire.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\oodag.exe
D:\TurboFTP\tftpsvc.exe
D:\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
D:\AntiVir PersonalEdition Classic\sched.exe
D:\Azureus\Azureus.exe
C:\WINDOWS\system32\svchost.exe
D:\HTJ\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\cmd.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Uptime-Project] D:\Uptime\client.exe
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\cmd.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] D:\HDD Thermometer\HDD Thermometer.exe
O4 - Startup: qip 2005.lnk = D:\QIP\qip.exe
O4 - Startup: Xfire.lnk = D:\Xfire\Xfire.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NBService - Nero AG - D:\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TurboFTP Sync Service (TBFTPSyncService) - TurboSoft,Inc - D:\TurboFTP\tftpsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Habe meinen Usernamen durch "Administrator" ersetzt.

mOIn atimaster,
lasse mal diese Datei
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\cmd.exe
bitte hier
http://www.virustotal.com/en/indexf.html
oder
http://virusscan.jotti.org/de/
hier auswerten und poste die Ergebnisse (auch die Dateigrößen) egal ob was gefunden wird oder nicht.
MFG

Danke für die antwort.
ÄÄhh....wie mach ich dasn? :balla: iss dochn Registry Schlüssel....wie soll ich die denn testen?

thx

Du sollst ja auch nicht den Registry Eintrag analysieren lassen sondern folgende Datei ;)

Gruß
Sunny

Ahso :D

Virustotal sagt:

Your file "cmd.exe" is queued in position: 60. Estimated start time is between 5 and 8 minutes.

Iss son Rotes Schild neben (nich gut :mad:)

Und jotti sagt:

http://img65.imageshack.us/img65/4122/asdsadsadasdsadasdk9.jpg

Was soll ichn nu machen?

Danke ;)

mOIn atimaster,
du hast in der Warteschleife gehangen, versuche es nochmal mit der cmd.exe aber es kann bis 6-7 minuten dauern bis du die Auswertung siehst.
MFG

ich traue dieser cmd.exe nicht wirklich! Nicht zu verwechseln mit der Systemverwandten, diese steht im System32 Ordner.

Versuch nochmal den Scan bei Virustotal, warte dieses mal ab, bis der Scan vollständig fertig ist...

Moin nochdigger :D

mOIn [Gc]Sunny,
auch wenn ich nicht in die Kirche gehe, glaube ich mit dir, den bei Jotti ist die Datei als Bifrose D identifiziert worden und was der Schädling kann sieht man hier
klick

Es kann natürlich auch sein das die Datei cmd.exe insoweit schon wieder modifiziert ist, das kein AV-Scanner diese erkennt! (so zumindest meine Theorie!)
Demnach würde ich erst recht das System neuaufsetzen..

Sorry
Sunny

Naja warten wir mal das Ergebnis von Virustotal ab(wenig Hoffnung hab).
Werden die hochgeladenen Dateien eigentlich an die Hersteller der
AV Programme weitergeleitet zur weiteren Auswertung?
MFG

So weit wie ich weiß, JA! Sonst würde das ganze auch recht wenig Sinn machen, außerdem geht das so viel schneller als das jeder User einzeln die Dateien hochlädt zu den AV-Herstellern!

Hallo!
Virusscan sagt nun das:

http://img218.imageshack.us/img218/3816/lololololololoololololoooolloldp9.jpg

Bitte nicht schon wieder Formatieren....ich hab das gerade mit dem BackUp gemacht aber kurz nachdem ich den Agobot schon drin hatte. Soll ich die cmd nicht einfach löschen und von der Windows CD kopieren? Also das ich wieder ne neue habe.

Danke an alle!

mOIn nochmal,
es tut mir leid, aber 'nen anderen Rat als wie Neuaufsetzen, wird dir hier am Board glaub ich keiner geben.

Schau mal was das Mistvieh alles kann :
* Ermöglicht Dritten den Zugriff auf den Computer
* Stiehlt Daten
* Reduziert die Systemsicherheit
* Installiert sich in der Registrierung
* Hinterlässt nicht infizierte Dateien auf dem Computer
d.h. die Virenscanner finden evtl. nicht mal alle Dateien die zu diesem Schädling gehöhren.

Setze dein System neu auf, um wieder ein vertrauenswürdiges System zu erhalten und ändere deine Passwörter.
Hier ist eine sehr gute Anleitung zum Neuaufsetzen
MFG