Agent.fc

  • #1
Z

zuengeln

Neues Mitglied
Themenersteller
Dabei seit
04.08.2005
Beiträge
3
Reaktionspunkte
0
HI ich würde gerne mal wissen wie ich den entfernen kann. Ih brauche dringend Hilfe.
Danke

bitte um eine schnelle antwort.
Lg Jasmin

verschoben von Firewalls & Virenscanner
 
  • #3
Logfile of HijackThis v1.99.1
Scan saved at 14:28:24, on 04.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\mgabg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\System\Inst.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\XoftSpy\XoftSpy.exe
C:\Dokumente und Einstellungen\Jasmin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Inst] C:\WINDOWS\System\Inst.exe install
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ybfddz] c:\windows\system32\nuwnqr.exe r
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] C:\Programme\MSN Messenger\MsnMsgr.Exe /background
O4 - HKCU\..\Run: [Spyware Doctor] C:\Programme\Spyware Doctor\swdoctor.exe /Q
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: RaptisoftGameLoader -
O16 - DPF: {00000000-0000-0000-0000-000020040000} -
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) -
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) -
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) -
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{09A8DA42-191B-4567-9399-B8CB26237775}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
 
  • #4
wie kann ich den den Virus löschen?
 
  • #5
Ich muss mich da doch leider der Meinung anderer User in anderen Foren anschließen.

Es sieht leider nicht sooo gut aus.

Ich habe hier mal anbei noch einen Link, der einen großen Teil System bezogener Prozesse aufzeigt, so dass man annähernd schon einaml sagen kann, welche Prozesse tatsächlich wichtig und richtig sind.



Insbesondere folgende Einträge in der Prozessliste fallen mir gerade auf:

C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe

Ich möchte an dieser Stelle aber erst einmal die Meinung anderer User dazu hören. Persönlich würde ich die Daten sichern und neuinstallieren, aber dies soll nun keine Aufforderung sein.

Hast du das Log-File mal bei HijackThis zur Auswertung geschickt?

Hast du eine CWShredder-Version drauf, die man einmal ansetzen könnte?

Es ist wahrscheinlich erst einmal besser, abzuwarten, was die anderen dazu sagen.

Es ist ein Trojaner, kein direkter Virus ansich - so einfach löschen ist da nicht. In der Regel gibt es eine Art Ausgangsdatei, von der alles andere abhängt. Diese jedoch zu lokalisieren ist alles andere als einfach. Jene Dateien und Prozesse, die dir anhand der Laufenden Prozesse angezeigt werden, sind meistens durch diese Ursprungsdatei hervorgerufene Programme. Sie zu löschen würde lediglich bewirken, dass anderweitige, jedoch gleichwertige Programme ins Leben gerufen werden. Man hält sich also quasi mit dem Löschen dran.

Dir an dieser Stelle eine endgültige Möglichkeit zu offerieren, diesen Internetdreck quitt zu werden,..., nun ja, nicht wirklich. Schau mal beim Sophos-Link (oben) nach, welche Tools oder Anleitungen dazu vorhanden sind. Mehr kann ich dir dazu momentan noch nicht sagen, aber ich arbeite dran.

Gruß
 
  • #6
Ich nochmal...



Hier ist eine allgemeine Beschreibung zur Entfernung von Trojanern.

Unter Punkt: 3 Entfernung von Trojanern unter Windows gibt's eine Notfall-Version (SAV32CLI) zum Download. Diese *.exe muss ausgepackt und auf eine CD gebrannt werden.

Vorsorglich sollte man den Beschreibungen aber Folge leisten, also nicht wild drauf los.

Daten, die sich auf der infizierten C:\Partition befinden und die du behalten möchtest (Favoriten, Bilder etc.), solltest du vorsichtshalber aber mal auf eine andere Partition (falls vorhanden) kopieren.
Kontrollier aber vorher deine Favoritenliste, denn insbesondere Startpage-Trojaner legen dort sehr gerne eigene Links ab - speziell auch im LINKS-Ordner. Diese solltest du vorher entfernen. Kopier keine System bezogenen Programme und Anwendungen, denn man weiß nie, welche davon infiziert sind.

Schönen Gruß

Suche in der Registrierung (Start/Ausführen/regedit) auch einmal nach einem solchen Eintrag:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\JavaUpdate0.07 <--- o.ä.
 
Thema:

Agent.fc

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.839
Beiträge
707.962
Mitglieder
51.492
Neuestes Mitglied
Janus36
Oben