|
BDS/Agent.itw Meldung und Internet langsamer Hallo, seit einiger Zeit habe ich das Gefühl mein Internet ist langsamer. Ich benutze Crazy Browser. Desweitern zeigt mit Avira Antivir Personal die Fehlermeldung: In der Datei 'C:\WINDOWS\system32\aspimgr.exe' wurde ein Virus oder unerwünschtes Programm 'BDS/Agent.itw' [backdoor] gefunden. Die Meldung kam immer, wenn ich "Ausführen: msconfig" gemacht habe oder bei einem scan von search&destroy dem anti malware usw. Programm. Jetzt kommt die Meldung bei msconfig zwar nicht mehr aber habe immernoch das Gefühl es stimmt was nicht. Daher bitte ich um Hilfe und Auswertung meiner Hijack datei. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:10:52, on 10.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\aspimgr.exe C:\WINDOWS\ATKKBService.exe C:\Programme\CPUCooL\CooLSrv.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Audio Deck\EnMixCPL.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Crazy Browser\Crazy Browser.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe D:\Computer\Internet&AntiSpy,Viren\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {44AF5221-A43E-224E-56BA-ABCD43C344D1} - C:\PROGRA~1\MAGELL~1\DOWNLO~1\dboostie.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programme\Audio Deck\EnMixCPL.exe 1 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: T-DSL Manager.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: T-DSL Manager.lnk = ? (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: eBay Startseite - {8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/707-1170-5704-77?RedirectEnter&partner=36420&loc=http://pages.ebay.de (file missing) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7168 bytes |
Hi, unbedingt die Datei online prüfen lassen, da es folgendes sein kann: Troj/Proxy-HS Trojan - Sophos security analysis virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan Zitat:
Chris |
So hier das Ergebnis. Wie muss ich jetzt weiter verfahren? Hilft nur format C oder kriegt man das noch irgendwie weg? Schonmal Vielen Dank. Datei aspimgr.exe empfangen 2008.06.11 10:16:07 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 24/32 (75%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.11.0 2008.06.10 - AntiVir 7.8.0.55 2008.06.11 BDS/Agent.itw Authentium 5.1.0.4 2008.06.11 W32/NewMalware-Rootkit-I-based!Maximus Avast 4.8.1195.0 2008.06.11 Win32:Agent-GPS AVG 7.5.0.516 2008.06.10 Proxy.ABYL BitDefender 7.2 2008.06.11 Trojan.PWS.Agent.RWD CAT-QuickHeal 9.50 2008.06.10 Backdoor.Agent.itw ClamAV 0.92.1 2008.06.11 Trojan.Agent-25703 DrWeb 4.44.0.09170 2008.06.11 - eSafe 7.0.15.0 2008.06.10 - eTrust-Vet 31.6.5864 2008.06.10 - Ewido 4.0 2008.06.10 - F-Prot 4.4.4.56 2008.06.10 W32/NewMalware-Rootkit-I-based!Maximus F-Secure 6.70.13260.0 2008.06.11 Backdoor.Win32.Agent.itw Fortinet 3.14.0.0 2008.06.10 Agent.AF!tr GData 2.0.7306.1023 2008.06.11 Backdoor.Win32.Agent.itw Ikarus T3.1.1.26.0 2008.06.11 Virus.Win32.Agent.GPS Kaspersky 7.0.0.125 2008.06.11 Backdoor.Win32.Agent.itw McAfee 5314 2008.06.10 Proxy-Agent.af.gen Microsoft 1.3604 2008.06.11 Backdoor:Win32/Agent.ACG NOD32v2 3175 2008.06.11 probably a variant of Win32/Agent.NEQ Norman 5.80.02 2008.06.10 W32/Asprox.L Panda 9.0.0.4 2008.06.10 Trj/Downloader.MDW Prevx1 V2 2008.06.11 Cloaked Malware Rising 20.48.12.00 2008.06.10 - Sophos 4.30.0 2008.06.11 Mal/Generic-A Sunbelt 3.0.1145.1 2008.06.05 - Symantec 10 2008.06.11 Trojan.Asprox TheHacker 6.2.92.342 2008.06.11 Backdoor/Agent.itw VBA32 3.12.6.7 2008.06.10 Backdoor.Win32.Agent.itw VirusBuster 4.3.26:9 2008.06.10 - Webwasher-Gateway 6.6.2 2008.06.11 Trojan.Backdoor.Agent.itw weitere Informationen File size: 73728 bytes MD5...: 2f2756ee893d59a54c85c677c4c36578 SHA1..: 3e9dac6e62e40f73cce944457c74e4b5d439f0ed SHA256: 5fdd536b1f9c781494e69cb840b2338d3cdfc49d323039de0c623cf7fa948ac4 SHA512: 165bd06df9e6d3a55d17033a554cff5d3fb0886ecc42fa28204785bdf8a646b1 5060a976324fcd8e29e4a067557bb5e41f2464604a8da67f01bdefa65ca4d01e PEiD..: Armadillo v1.71 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40cc26 timedatestamp.....: 0x48356681 (Thu May 22 12:26:41 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xbd64 0xc000 6.46 a205b0eaf09a734c38e96e32872ab157 .rdata 0xd000 0x666 0x1000 2.38 43751e1c38be2cdd4a597e2ecd5833c3 .data 0xe000 0x4e904 0x4000 6.27 322c05619c0951c5e3d5f54baa8d810b ( 3 imports ) > KERNEL32.dll: lstrcpynA, lstrlenA, lstrcpyA, lstrcatA, Sleep, GetLastError, HeapFree, GetProcessHeap, HeapAlloc, GetProcAddress, LoadLibraryA, GetModuleHandleA, LeaveCriticalSection, EnterCriticalSection, lstrcmpA, lstrcmpiA, FreeLibrary, GlobalFree, GlobalAlloc > WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __p___initenv, exit, _XcptFilter, _exit, atol, _strlwr, _itoa, strcpy, _beginthread, _endthread, sscanf, strstr, memset, atoi, memcpy, free, malloc, fclose, fwrite, fopen, strncmp, memmove, strlen, isspace, strchr ( 0 exports ) Prevx info: ASPIMGR.EXE - Prevx |
Hi, wir probieren die Entfernung: Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://swandog46.geekstogo.com/res/images/avenger.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exedann "Open the Misc Tools section" auswählen, "Delete an NT service" auswählen und das hier reinkopieren: Zitat:
Neu booten; DSS: Download dss zum Desktop http://www.techsupportforum.com/sect...eckard/dss.exe Doppelklick dss.exe Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread Scanne mit Prevx und poste das Log: Prevx CSI - FREE Malware Scanner Chris |
Erstmal Danke für deine Hilfe. Bis zum fixen der Datei mit HiJackThis ging alles. Der Befehl "Delete an NT Sercive" ging allerdings nicht mehr, da der Microsoft ASPI Manager laut HijackThis in der Registry nicht zu finden ist. Dies besagt die Meldung, wenn ich "Delete an NT Service" ausführen möchte. Bedeutet das der Trojaner ist bereits weg? Zumindest poste ich nun noch alle Berichte: avanger und dss logfiles befinden sich im Anhang. Der Inhalt von der Prevx CSI logfile hat leider zu viele Zeichen und ist mit 217kb zu groß für den Anhang. Das Ergebnis des Scans war: "Summary: No malicious items found during the last scan End of PrevxCSI Log - http://www.prevx.com" Soll ich da noch nach was anderem schauen oder ich könnte dir die Logfile auch per E-Mail schicken. Danke nochmals für die Unterstützung. |
Hi, sieht soweit gut aus, bitte noch ein DSS-Scan: DSS * Lade dir DSS (http://www.techsupportforum.com/sect...eckard/dss.exe) * Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus * Führe während DSS arbeitet bitte keine anderen Aktionen durch * Am Ende öffnen sich 2 Datein main.txt und extra.txt * Poste den Inhalt beider Dateien hier chris |
Die Datei vom dss-scan befindet sich doch im Anhang. Sie heißen main.txt bzw. extra.txt. Oder soll ich nochmal scannen? Gruß |
Hi, ist OK... Der Dienst ist immer noch da, das File aber nicht mehr... Registry aufräumen: CCleaner - CCleaner 2.0 Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird. Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen. Dann startest du den Rechner im normalen Modus neu. Backups von Avenger&Co (falls vorhanden) löschen: Falls der Rechner einwandfrei läuft, können die Backups der Bereinigungstools gelöscht werden (soweit vorhanden): C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren JAVA Deine Javasoftware ist veraltet, Download jre-6u6-windows-i586-p.exe Scrolle runter nach ---->Java Runtime Environment (JRE) 6u6 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze ein Haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u6-windows-i586-p.exe” chris |
1a und Danke. Ich merke auch, dass mein Rechenr wieder besser läuft.Was bringt das neuere Java bzw. was macht es überhaupt? Hast du eine Vorstellung wie ich mir die Malware eingefangen habe? Antivir und Zonealarm sind immer an und daran hab ich auch gemerkt, dass ich was habe. Aber draufgekommen ist es ja trotzdem. |
Hi, Java braucht u. U. der Browser für bestimmte Seiten, Applets etc.; auch in Java gibt es Sicherheitslücken die durch neue Versionen geflickt werden. Daher ist ein Update sinnvoll, die alte Java-Version muss allerdings dabei gelöscht werden... Du kannst Avira "härter" einstellen (Heuristik), dann kann allerdings auch mal was korrektes als Virus angezeigt werden (false/positiv), daher immer erst überlegen und dann ggf. in Quarantäne stellen lassen: Stelle Avira wie folgt ein: Antivir, die Heuristik und Bootcd, die aggressive Variante - Virus Hilfe Wenn per Codeinjection erlaubte Programme von Maleware benutzt werden, dann ist die Firewall meist eigentlich machtlos, sie merkt nur dann versuche ins Internet zu gehen, wenn es neue "Programme" versuchen. Du solltest sie allerdings so einstellen, dass alle nicht benötigten Ports geschlossen sind... PC Firewalls --- FAQ (ganz unten gibt es dann noch deutsche Bediengungsanleitungen für versch. Versionen) chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board