![]() |
Viren/Trojaner Alarm "agobot.33.U" wird angezeigt hallo, bin neu hier, und richte mich auch auf schelmische kommentare ein. ich bin einabsoluter nicht-profi für pc. Gebts's mir nur... Problem: beim starten wird angezeigt: agobot.33.U...Virenalarm schlägt an, ist aber mittels AVG nicht 'removable'. desweiteren will wsxsvc.exe und btv und webrebates0 online... die habe ich jetzt mal rausgelöscht...war ne menge arbeit mit spybot und hijackthis... und AVG zeigt an: keenval A und B und trallala sind infektet... ich würd ja jetzt gerne diese liste hier anzeigen...bloß wie kopiere ich die rüber? lacht's ned, helft mir lieber! auf jeden fall danke, egal ob die hilfe nützlich war ist oder nicht! |
Hallo, öffne das hijackthis.log -> Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (hier in den Thread einfügen) |
Zitat: Zitat:
Aber wie ich sehe, ist cidre auch drüber, da bist Du in besten Händen! |
ähm....ich kann nicht mal einzelne zeilen kopieren im fenster von kijack.... weil ich netscape benutze? |
Wenn du mit HJT gescannt hast, musst du die Option "save log" verwenden, daraufhin wird alles in einer logdatei abgespeichert, die dann auch geöffnet wird, nachdem du den pfad zum Speicher angewählt hast. Aus dieser Datei dann wie Cidre schrieb alles kopieren und hier in einen Thread einfügen. Netscape hat damit nichts zu tun. Siehe auch hier: http://www.trojaner-board.de/51130-a...ijackthis.html |
ich danke für eure geduld!! O1 - Hosts: 62.189.6.85 _sip._tls.sip5.phoneserve.com O1 - Hosts: 62.189.6.85 _sip._ssl.sip5.phoneserve.com O1 - Hosts: 62.189.6.86 _sip._tls.sip6.phoneserve.com O1 - Hosts: 62.189.6.86 _sip._ssl.sip6.phoneserve.com O1 - Hosts: 62.189.6.93 _sip._tls.sip7.phoneserve.com O1 - Hosts: 62.189.6.93 _sip._ssl.sip7.phoneserve.com O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWay\SearchAt\1.bin\MWSSRCAS.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWay\bar\1.bin\MWSBAR.DLL O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINNT\system32\BhoECart.dll O2 - BHO: WindowsIE.clsIS - {2E12B523-3D4C-4FAC-9B04-0376A8F5E879} - c:\winnt\WindowsIE.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IExplorr29.clsIS - {54ED9B49-81D1-4866-95A6-30F01DE0047E} - c:\winnt\iexplorr29.dll O2 - BHO: IExplorr26.clsIS - {90E34F98-E3E6-4CD7-A592-E964FED8AF78} - c:\winnt\iexplorr26.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: IExplorr27.clsIS - {94326E3F-F51F-4863-A832-4ACD0D7D4BC3} - c:\winnt\iexplorr27.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWay\bar\1.bin\MWSBAR.DLL O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programme\Copernic Agent\CopernicAgentExt.dll O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: 411 Ferret Toolbar - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - C:\Programme\411Ferret\toolbar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off O4 - HKLM\..\Run: [POINTER] C:\Program Files\Microsoft Hardware\Mouse\point32.exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [ICQ Net] C:\WINNT\system32\dllcache\WINLOGON.EXE -stealth O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [CmCardRun] C:\WINNT\system32\CmWatch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [routcnf] E:\routcnf.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe" O4 - HKLM\..\Run: [AdRoarUpdate] C:\WINNT\ARUpdate.exe O4 - HKLM\..\Run: [Sys Ren] C:\WINNT\SysRen.exe /S O4 - HKLM\..\Run: [vmss] C:\WINNT\system32\vmss\vmss.exe O4 - HKLM\..\Run: [SaferSurf Active] C:\Programme\SaferSurf Setup\SaferSurf Active.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Programme\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [Yahoo! Pager] E:\MESSEN~1\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [SaferSurf FileSharing] C:\Programme\SaferSurf FileSharing\SaferSurf-FileSharing.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &411 Ferret Toolbar search - res://C:\Programme\411Ferret\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra 'Tools' menuitem: Starten von Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing) O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing) O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\MESSEN~1\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\MESSEN~1\MESSEN~1\YPager.exe O16 - DPF: {01CA75F1-054B-4A63-9221-C6926369EC52} (HS_live Control) - http://install.homestead.com/~site/I...ve/HS_live.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.6.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {555500CD-CB54-11D6-8DB9-0000864598B3} (Diagmgr Class) - http://instantsupport.europe.hp.com/...iagManager.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/14a3bc946dafe00...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {8A8F3D75-6564-4599-A7DC-313B43A89E1D} (AdInstaller Control) - http://www.kazaa.net.cn/digital/AdInstaller.ocx O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://webcamnow.com/broadcast/ActiveXWebCam.cab O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EDD12F81-B24B-497A-AD8C-D40107EFD5B1}: NameServer = 192.168.0.1 |
Logfile of HijackThis v1.98.2 Scan saved at 20:16:36, on 23.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINNT\SYSTEM32\DWRCS.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\WINNT\system32\regsvc.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINNT\system32\MSTask.exe C:\WINNT\system32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.Exe C:\Program Files\Microsoft Hardware\Mouse\point32.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe C:\WINNT\system32\CmWatch.exe C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE C:\Programme\Winamp\Winampa.exe C:\Program Files\BTV\btv.exe C:\WINNT\system32\wsxsvc\wsxsvc.exe C:\WINNT\system32\vmss\vmss.exe C:\Programme\SaferSurf Setup\SaferSurf Active.exe C:\WINNT\system32\internat.exe C:\Programme\Netscape\Netscp.exe C:\Programme\SaferSurf FileSharing\SaferSurf-FileSharing.exe C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe E:\MESSEN~1\MESSEN~1\ymsgr_tray.exe C:\Programme\Winamp\winamp.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\WOLF~1.LUX\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rd.yahoo.com/customize/ymsgr/.../www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rd.yahoo.com/customize/ymsgr/...ch/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy10.safersurf.com:7779;ftp=proxy10.safersurf.com:7779 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;chat.de;chat-net.org R3 - URLSearchHook: 411 Ferret Toolbar - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - C:\Programme\411Ferret\toolbar.dll F2 - REG:system.ini: Shell=C:\WINNT\Explorer.Exe |
Dein Log-File ist nich vollständig, stelle deshalb die Schriftgrösse deines Posts auf 1. |
habss auf zwei einträge verteilt :-) |
@ Pünktchen bitte überprüfe mit virusscan.jotti.dhs.org: C:\WINNT\System32\SCardSvr.exe C:\WINNT\SYSTEM32\DWRCS.EXE C:\WINNT\system32\hidserv.exe C:\WINNT\system32\CmWatch.exe C:\WINNT\system32\wsxsvc\wsxsvc.exe C:\WINNT\system32\vmss\vmss.exe C:\Programme\SaferSurf Setup\SaferSurf Active.exe C:\Programme\SaferSurf FileSharing\SaferSurf-FileSharing.exe C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe C:\Programme\411Ferret\toolbar.dll C:\Programme\T-Com\Sinus 154 data C:\PROGRA~1\COPERN~1\COPERN~1.EXE teile uns das Ergebnis der Überprüfung mit. SD |
danke für diese hilfestellung! heraus kam folgendes: vmss.exe Status: POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database) |
Hallo Pünktchen, wo ist Anton .. ehm ;-) ich meine, wo ist der Rest? Es waren doch ne ganze Menge Dateien, die ich Dich gebeten hatte zu überprüfen? Und, wir sind noch lange nicht mit Dir fertig, das war nur der Anfang. Poste bitte noch das Ergebnis der Überprüfung der anderen Dateien und dann sende bitte diese Dateien: C:\WINNT\System32\SCardSvr.exe C:\WINNT\SYSTEM32\DWRCS.EXE C:\WINNT\system32\hidserv.exe C:\WINNT\system32\CmWatch.exe C:\WINNT\system32\wsxsvc\wsxsvc.exe C:\WINNT\system32\vmss\vmss.exe C:\Programme\411Ferret\toolbar.dll passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken. Wenn Du dies erledigt hast, geht's weiter .... SD |
nur diese eine datei wurde nicht mit 'ok' angezeigt. der rest war einwandfrei.... passortgeschützt???? was, mein account? und anton, den hab ich flach gemacht..lach |
ok..gezippt weitergeschickt an die adressen! :-) |
danke für die Mitarbeit @ Pünktchen. Nun kommen wir zum härteren Teil. Du hast eine größere Menge Malware auf dem System, was genau weiss ich noch nicht. Es kann sein, dass Du Deinen Rechner formatieren mußt. Das ist abhängig von der Art der Viren, die nun auf Deinem System gefunden werden. Man kann Viren zwar löschen, aber das allein reicht in manchen Fällen nicht aus. Dies mal vorab, um Dich mehr oder weniger schonend auf einen eventuellen Schock vorzubereiten: Entfernung von Schädlingen und Kompromittierung unvermeidbar?. --> Um herauszufinden, ob und welche Malware sich auf Deinem Rechner befindet, lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Teile uns bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen die Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt. SD |
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board