Spy.Agent.dg.2.B

  • #1
G

Gilbert44

Guest
hi leute,

Antivir zeigt alle paar minuten diesen virus an:
Spy.Agent.dg.2.B

was schafft da abhilfe, außer systemneuinstall?
 
  • #2
habe auch schon ad-aware, spybot und hijacktihs scannen lassen

Logfile of HijackThis v1.99.1
Scan saved at 11:30:46, on 16.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hostserv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\keyhook.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\BearShare\BearShare.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Matthias\LOKALE~1\Temp\Rar$EX04.438\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hostserv] hostserv.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [hostserv] hostserv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [hostserv] hostserv.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D859093-0A0F-400C-9D9E-2DC28793B2AA}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{5D859093-0A0F-400C-9D9E-2DC28793B2AA}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
  • #4
aber wie kann ich dann diesen virus entfernen

wenn ich die virenerkennung dort runterlade kann ich die datei nicht öffnen....
 
  • #5
Gilbert44 schrieb:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Zum Vergrößern anklicken....
SP2 gibts hier: http://www.wintotal.de/softw/?id=2362
In Microsoft Windows XP Service Pack 2 (SP2) werden neue, aktive Sicherheitstechnologien für Windows XP zur Verfügung gestellt, die besser gegen Viren, Würmer und Angreifer schützen können

Running processes:
C:\WINDOWS\System32\hostserv.exe

O4 - HKLM\..\Run: [hostserv] hostserv.exe

O4 - HKLM\..\RunServices: [hostserv] hostserv.exe

O4 - HKCU\..\Run: [hostserv] hostserv.exe
Zum Vergrößern anklicken....
W32/Sdbot-WU
http://www.wintotal.de/Spyware/index.php?Filter=H#Spyware4381

C:\Programme\BearShare\BearShare.exe
Zum Vergrößern anklicken....
beinhaltet Onflow Spyware
http://www.wintotal.de/Spyware/index.php?Filter=B#Spyware1635

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
Zum Vergrößern anklicken....
Worm/RBot
http://www.wintotal.de/Spyware/index.php?Filter=X#Spyware2907

im abgesicherten Modus löschen

pan_fee
 
  • #6
danke für de hilfe

ich habe wenig ahnung von pcs, deswegen meine frage was ich konkret jetzt machen muss um diesen virus loszuwerden.

:-[danke
 
  • #8
...wenn ich die virenerkennungsdatei von sophos runterlade kann ich sie aber nicht öffnen..:(
 
  • #9
Gilbert44 schrieb:
...wenn ich die virenerkennungsdatei von sophos runterlade kann ich sie aber nicht öffnen..:(
Zum Vergrößern anklicken....
evtl. blocken die Viren dies.....

beende doch erst einmal die Virenprozesse und lösche sie im abgesicherten Modus (F8)

pan_fee
 
  • #10
Gilbert44 schrieb:
ich habe wenig ahnung von pcs, deswegen meine frage was ich konkret jetzt machen muss um diesen virus loszuwerden.
Zum Vergrößern anklicken....
mal den stinger (http://vil.nai.com/vil/stinger/) versuchen, der sollte den wurm finden und beseitigen können. wenn das nicht klappt, dann den syscleanpackage (sysclean.com) von trendmicro nehmen http://www.trendmicro.com/download/dcs.asp und die neueste virendeffinitionsdatei http://www.trendmicro.com/download/pattern-cpr.asp die du dann in das verzeichnis entpackst in die du die sysclean.com kopiert hast. dann in den abgesicherten modus wechseln (beim booten die f8 taste drücken) und über start/ausführen die sysclean.com starten. dann wird dein system nach allen bekannten viren/würmern und trojanern gescannt. der sysclean entvernt automatisch auch alle bösewichte. da du xp hast, mußt du noch die wiederherstellungsfunktion deaktivieren, da sich der wurm in den kopien der wiederherstellungsfunktion inzwischen auch befindet. wenn dir das alles zu komliziert ist, dann such dir jemand im bekanntenkreis, der ein bisschen ahnung hat ... ansonnsten bleibt dir noch die neuinstallation (wenn du dich traust) ...

greetz

hugo
 
  • #11
danke erstmal, lasse gerade den->stinger' laufen ;)
 
  • #12
leider hat Beides nicht geklappt :(

kann ich die systemherstellungfunktion denn wieder aktivieren jetzt?
 
  • #14
was genau muss ich da löschen, ich weiss nicht wo ich die datei genau finden kann

die autoeinträge wohingehend untersuchen?
 
  • #15
PC herunterfahren, boote im abgesicherten Modus (F8 drücken beim booten)
und geh ins Verzeichnis C:\WINDOWS\System32 lösche hostserv.exe und xpjava.exe.

Du kannst danach auch nochmal HijackThis im abgesicherten Modus laufen lassen, falls er noch was findet (xpjava.exe, hostserv.exe) beim Eintrag das Häkchen setzen und auf Button Fix checked klicken.

Danach bootest du wieder normal und startest die Registry. Start - Ausführen - regedit - OK. Hier nun zum Verzeichnis (was Schlüssel sind) wandern.
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion
also zuerst auf das kleine Plus-Zeichen vor HKEY_LOCAL_MACHINE klicken, dann öffnet sich ein Unterverzeichnis (Unterschlüssel), hier klickst du dann auf das Plus-Zeichen vor Software, dann weiter mit Microsoft - weiter mit Windows - weiter mit CurrentVersion - hier siehst du dann Run, den du direkt anklickst. Es öffnet sich das rechte Fenster und da schaust du, ob du den Eintrag hostserv.exe findest. Klicke diesen Eintrag bei Namen rechts an und im Kontextmenü klickst du auf Löschen.

Das gleiche machst du auch unter HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\RunServices (RunServices wieder direkt anklicken).

Dann noch diesen Schlüssel HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion \Run (Run wieder direkt anklicken)

soweit so klar? ???

pan_fee
 
  • #16
bin am abgs. Modus hochgefahren, aber im system32 ordner gibt es keine hosterv.exe. und die xpjava.exe->kann nicht gelöscht werden'

was nun? ???
 
  • #17
Gilbert44 schrieb:
bin am abgs. Modus hochgefahren, aber im system32 ordner gibt es keine hosterv.exe. und die xpjava.exe->kann nicht gelöscht werden'

was nun? ???
Zum Vergrößern anklicken....
aha, sieh an :-X
OK, starte die Registry und lösche die Viren Run-Einträge (Anleitung hab ich dir ja gepostet).

Wegen der xpjava.exe wanderst du in der Registry nach HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (<-- direkt anklicken). Im rechten Fenster siehst du unter Namen Userinit und unter Wert den Pfad C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\xpjava.exe (Pfad zur xpjava.exe könnte evtl. abweichen). Lösche den Pfad mit der xpjava.exe (Doppelklick auf Userinit), sodass nur noch C:\WINDOWS\system32\userinit.exe, da steht.

Doppelklick auf Userinit:
userinit_xpjava.gif


so sollte es dann aussehen:
userinit.gif


pan_fee
 
  • #18
der virus scheint weg zu sein. ich bedank mich ganz herzlich bei dir! :)
 
  • #19
Gilbert44 schrieb:
der virus scheint weg zu sein.
Zum Vergrößern anklicken....
hast du nun die hosterv.exe und xpjava.exe gefunden?

hast du auch nun das SP2 installiert?

pan_fee
 
  • #20
habe das alles in der registry gemacht wie du mit geschrieben und dann war der virus weck.

habe noch SP1 :)
 
Thema:

Spy.Agent.dg.2.B

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.961
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben