Agent.fc

Dieses Thema Agent.fc im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von zuengeln, 4. Aug. 2005.

Thema: Agent.fc HI ich würde gerne mal wissen wie ich den entfernen kann. Ih brauche dringend Hilfe. Danke bitte um eine schnelle...

  1. HI ich würde gerne mal wissen wie ich den entfernen kann. Ih brauche dringend Hilfe.
    Danke

    bitte um eine schnelle antwort.
    Lg Jasmin

    verschoben von Firewalls & Virenscanner
     
  2. Logfile of HijackThis v1.99.1
    Scan saved at 14:28:24, on 04.08.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\alg.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\mgabg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\WINDOWS\System32\PDesk\PDesk.exe
    C:\WINDOWS\System\Inst.exe
    C:\WINDOWS\mHotkey.exe
    C:\WINDOWS\CNYHKey.exe
    C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\MSN Messenger\MsnMsgr.Exe
    C:\Programme\Spyware Doctor\swdoctor.exe
    C:\Programme\Logitech\MouseWare\system\em_exec.exe
    C:\Programme\FRITZ!\IWatch.exe
    C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\XoftSpy\XoftSpy.exe
    C:\Dokumente und Einstellungen\Jasmin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://inselkampf.de/
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
    O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
    O4 - HKLM\..\Run: [Inst] C:\WINDOWS\System\Inst.exe install
    O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
    O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [ybfddz] c:\windows\system32\nuwnqr.exe r
    O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] C:\Programme\MSN Messenger\MsnMsgr.Exe /background
    O4 - HKCU\..\Run: [Spyware Doctor] C:\Programme\Spyware Doctor\swdoctor.exe /Q
    O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
    O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
    O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int3.exe
    O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
    O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/zenpuzzlegarden/miniclipGameLoader.dll
    O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/285397b0ba4b94e42f16/netzip/RdxIE601_de.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1119194954818
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/TriacomUD_1.0.0.3ie.cab?
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
    O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{09A8DA42-191B-4567-9399-B8CB26237775}: NameServer = 217.237.151.161 217.237.151.33
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
     
  3. wie kann ich den den Virus löschen?
     
  4. Ich muss mich da doch leider der Meinung anderer User in anderen Foren anschließen.

    Es sieht leider nicht sooo gut aus.

    Ich habe hier mal anbei noch einen Link, der einen großen Teil System bezogener Prozesse aufzeigt, so dass man annähernd schon einaml sagen kann, welche Prozesse tatsächlich wichtig und richtig sind.

    http://www.reger24.de/prozesse.html

    Insbesondere folgende Einträge in der Prozessliste fallen mir gerade auf:

    C:\WINDOWS\mHotkey.exe
    C:\WINDOWS\CNYHKey.exe

    Ich möchte an dieser Stelle aber erst einmal die Meinung anderer User dazu hören. Persönlich würde ich die Daten sichern und neuinstallieren, aber dies soll nun keine Aufforderung sein.

    Hast du das Log-File mal bei HijackThis zur Auswertung geschickt?

    Hast du eine CWShredder-Version drauf, die man einmal ansetzen könnte?

    Es ist wahrscheinlich erst einmal besser, abzuwarten, was die anderen dazu sagen.

    Es ist ein Trojaner, kein direkter Virus ansich - so einfach löschen ist da nicht. In der Regel gibt es eine Art Ausgangsdatei, von der alles andere abhängt. Diese jedoch zu lokalisieren ist alles andere als einfach. Jene Dateien und Prozesse, die dir anhand der Laufenden Prozesse angezeigt werden, sind meistens durch diese Ursprungsdatei hervorgerufene Programme. Sie zu löschen würde lediglich bewirken, dass anderweitige, jedoch gleichwertige Programme ins Leben gerufen werden. Man hält sich also quasi mit dem Löschen dran.

    Dir an dieser Stelle eine endgültige Möglichkeit zu offerieren, diesen Internetdreck quitt zu werden,..., nun ja, nicht wirklich. Schau mal beim Sophos-Link (oben) nach, welche Tools oder Anleitungen dazu vorhanden sind. Mehr kann ich dir dazu momentan noch nicht sagen, aber ich arbeite dran.

    Gruß
     
  5. Ich nochmal...

    http://www.sophos.de/support/disinfection/trojan.html

    Hier ist eine allgemeine Beschreibung zur Entfernung von Trojanern.

    Unter Punkt: 3 Entfernung von Trojanern unter Windows gibt's eine Notfall-Version (SAV32CLI) zum Download. Diese *.exe muss ausgepackt und auf eine CD gebrannt werden.

    Vorsorglich sollte man den Beschreibungen aber Folge leisten, also nicht wild drauf los.

    Daten, die sich auf der infizierten C:\Partition befinden und die du behalten möchtest (Favoriten, Bilder etc.), solltest du vorsichtshalber aber mal auf eine andere Partition (falls vorhanden) kopieren.
    Kontrollier aber vorher deine Favoritenliste, denn insbesondere Startpage-Trojaner legen dort sehr gerne eigene Links ab - speziell auch im LINKS-Ordner. Diese solltest du vorher entfernen. Kopier keine System bezogenen Programme und Anwendungen, denn man weiß nie, welche davon infiziert sind.

    Schönen Gruß

    Suche in der Registrierung (Start/Ausführen/regedit) auch einmal nach einem solchen Eintrag:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaUpdate0.07 <--- o.ä.