Spy.Agent.dg.2.B

:'(
Hi Leute, ich bin am verzweifeln!
Dieser scheiß Spy_Agent lässt mich auch net in Ruhe, habe versucht auch Die Anleitung mit der registry zu befolgen, da war aber schon alles so wie angegeben! hab auch alle paar Sekunden diese Warnung von Antivir!
Bitte helft mir!

Autostart (msconfig), Registry Run Einträge durchsuchen, Spybot, CWS und HijackThis mal starten.

Anleitung: http://www.wintotal.de/Tipps/Eintrag.php?TID=873

pan_fee

Hmmm...hab hijacker und den neuen spybot installiert und es scheint als wäre nun alles in ordnung!
vielen dank

Peyni schrieb:

hab hijacker und den neuen spybot installiert

Zum Vergrößern anklicken....

nur installieren bringt ja nichts, hast du dir die Anleitung durchgelesen? ???

pan_fee

Hallo,
habe auch dieses Problem mit der Antivir-Meldung:
Ist das Trojanische Pferd TR/Spy.Agent.dg.2.B

Bei mir wechselt die msdirectx.sys allerding zwischen
c:\windows\system32\... und c:\dokumente und einstellungen\administrator\...

Habe mir das Problem bei Gilbert schon angesehen, aber habe nicht diese hostserv-einträge.

anbei die logfile von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:22:44, on 20.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\zone labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\zone labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [Advanced Protection System] advpsys.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [UpdateManager] C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Advanced Protection System] advpsys.exe
O4 - HKCU\..\Run: [Advanced Protection System] advpsys.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{96D33168-0836-46E4-B7E3-B164BC35635F}: NameServer = 62.52.12.36 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Habe auch schon cwS und spybot sd laufen lassen, können aber nix finden.
bin mittlerweile schon soweit, dass ich vermute, dass antivir verrückt spielt.
hoffe, ihr könnt mir helfen.
:'(

blue192 schrieb:

Bei mir wechselt die msdirectx.sys allerding zwischen
c:\windows\system32\... und c:\dokumente und einstellungen\administrator\...

Zum Vergrößern anklicken....

mal lesen:
http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware3044 (MS KB 897079)

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Zum Vergrößern anklicken....

wo ist das SP2 ? ???

O4 - HKLM\..\Run: [Advanced Protection System] advpsys.exe

O4 - HKLM\..\RunServices: [Advanced Protection System] advpsys.exe

O4 - HKCU\..\Run: [Advanced Protection System] advpsys.exe

Zum Vergrößern anklicken....

sagt mir nichts, kennst das Programm? ???

pan_fee

Hallo,
ist kein SP2 drauf. werde ich nachholen.
Kenne dieses advpsys.exe nicht. Zonelabs meldet ständig, dass das Programm Zugang zum
Internet verlangt. Habe ich bisher immer verweigert.
Virus-Meldung ist das erste Mal aufgetaucht, nachdem ich am 19.06. Zone Alarm upgedatet habe. Vorher hat dieses advpsys.exe auch nie Zugriff verlangt. Könnte mich dran erinnern.
Werde heute abend mal deinen Link in Ruhe durchlesen. Bin jetzt auf der Arbeit....

die advpsys.exe wird wahrscheinlich im system32 Verzeichnis liegen, schau in den Eigenschaften nach, evtl. erhälst du Infos (interessiert mich auch), ansonsten umbenennen oder löschen nach einem Backup.

pan_fee

so, ist einiges passiert in der zwischenzeit. habe mir den link angeschaut und die manuelle lösung im abges. modus befolgt.
habe über dieses advpsys.exe nichts rausgefunden. stand nix in den Eigenschaften und habe sogar den Alert Adviser von Zone Alarm befragt, als es nochmal als server agieren wollte. Der meinte, das Programm sei nicht bekannt und deshalb mit grosser Vorsicht zu behandeln. habe es gelöscht und funktioniert auch alles noch.
aufgrund dieser beiden Aktionen scheint es also mit dem Entfernen vom Spy Agent auch geklappt zu haben, ABER habe jetzt eine Meldung, dass etwas den autostart eintrag geändert hat.
Bei Anwendung steht: :\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe\Auto
Bei Typ: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
Habe nun die Wahl zwischen REGISTRY-EINTRAG LÖSCHEN, ÜBERNEHMEN und ABBRECHEN. Breche im Moment immer ab.
Hast du mir sehr, sehr geholfen, wenn du vielleicht noch diese eine Frage beantworten könntest??? Bin mir zwar fast sicher, dass ich`s übernehmen kann, aber... :

nimm dazu das Tool Startup, da merkert nichts, wenn was deaktiviert wird
http://www.wintotal.de/softw/?id=541

pan_fee

Okay, klappt jetzt alles.
SP2-CD liegt auch schon neben mir, werde ich jetzt gleich installieren.
Nochmals tausend Dank für deine Hilfe. Sind echt zum Verzweifeln, diese Dinger. Bist ein Schatz!!!

hallo
ich hab genau das gleiche problem mit dem spy.agent.dg.2.b
hab alles genau so gemacht aber der geht nicht weg

halt ich habs
ich danke euch vielmals
er ist weg

hinzugefügt:
ich hab mehrere Möglichkeiten ausprobiert und die registry durchsucht.
Auch den Ordner c:\windoof\system32

in dem ordner befindet sich eine exe: anti_anti-av.exe oder so ähnlich.
Diese Exe sorgt dafür, dass z.B. AV Antivir Personal ED. AVgard beim Hochfahren von Windoof
ausgeschaltet bleibt.

Ich habe die EXE im abgesicherten Modus löschen können.
Nach normalem Neustarten hat mir mein AV-Antivir die zum Wurm/Trojaner/virus
dazugehörige dll angezeigt, und zwar die vturr.dll im system32-ordner.
beim klicken auf die DLL zeigt mir mein AV Antivir die meldung TR/spy.agent.dg.2.b
an.
ich denke die vturr.dll ist das Übel aller dinge. ih habe alle einträge mit vturr.dll gelöscht.
Aber nach dem Neustart werden die Einträge wieder in die registry geschrieben (scheiss registry).
Ich hab den Übeltäter noch nicht von meinem Rechner herunterbekommen.
Das ist aber noch lang kein grund das System neu zu bespielen.

Vorsicht: Bei aktiver Internetverbindung werden gleich 2-3 Hände voll neuer Trojaner und Würmer auf
den Rechner geladen.

in dabei das Problem ohne Tools zu lösen weil ich schon 10 Lösungsvorschläge angewandt habe und nix erreicht habe. Auch div. removal-und-FIX-tools können das Problem nicht lösen.

Der Anti-Hacker