TR/Spy.Agent.dg.2.B Hilfeeeee

Dieses Thema TR/Spy.Agent.dg.2.B Hilfeeeee im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Sirdany, 28. Juni 2005.

Thema: TR/Spy.Agent.dg.2.B Hilfeeeee Hi, habe seit neustem den TR/Spy.Agent.dg.2.B Trojaner und bekomme ihn nicht weg....habe auch in diesem Forum nach...

  1. Hi, habe seit neustem den TR/Spy.Agent.dg.2.B Trojaner und bekomme ihn nicht weg....habe auch in diesem Forum nach Lösungen gesucht,die jedoch keinen Erfolg fanden.http://www.wintotal-forum.de/index.php/topic,83515.0.html


    Mit dem Hilfsprogramm fxmytbar.exe von Symantec,hab ichs auch schon versucht....



    Hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 16:26:20, on 28.06.2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\PROGRA~1\INCRED~1\bin\IBMain.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\AVPersonal\GUARDGUI.EXE
    C:\Dokumente und Einstellungen\Sirdany\Desktop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    F2 - REG:system.ini: UserInit=userinit.exe,fywmaj.exe
    O2 - BHO: IBBHO - {12BA043E-293E-4CE4-A8C7-8460934FE801} - C:\Programme\IncrediBar\bin\IBBHO.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: IncrediBar - {D8073790-84C7-4602-BF77-C6ACBF1612E4} - C:\Programme\IncrediBar\bin\IBTBar.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: IncrediBar - {023FA804-DCE1-4817-94ED-6BA4200F9AF2} - C:\Programme\IncrediBar\bin\IBTBar.dll
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1118862211201
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{57E8D066-4C00-41C5-9BBE-3DBAC36B7A96}: NameServer = 195.202.32.79 195.202.33.68
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


    Bitte um Hilfe :'(
     
  2. achja, das Teil befindet sich nicht im System32 Ordner sondern in C:\DOKUMENTE UND EINSTELLUNGEN\SIRDANY\MSDIRECTX.SYS
     
  3. das SP2 fehlt! ???

    fixe den Eintrag mit HijackThis und durchsuch die Registry und im Windows nach fywmaj.exe

    pan_fee
     
  4. an pan fee bitte deutlicher habe keine Ahnung von hijack this,was bedeutet dieses fixen?und was soll ich damit machen(fywmaj.exe) sowohl in der registry als auch in windows löschen?bin pc anfänger,sorry :(
     
  5. OK ....
    wie hier beschrieben: http://www.wintotal.de/Tipps/Eintrag.php?TID=873
    das Häkchen vor den Eintrag F2 - REG:system.ini: UserInit=userinit.exe,fywmaj.exe setzen und dann auf Button Fix checked klicken

    [​IMG]

    In der Registry kommst du über Start - Ausführen - regedit (eintippen) - OK klicken. Es öffnet sich der Registriereditor (Registry). Oben, in der Menüleiste auf Bearbeiten und auf Suchen gehen.

    [​IMG]

    Hier tippst du fywmaj.exe ein und klickst auf Weitersuchen.

    [​IMG]

    Wird ein Eintrag gefunden, klickst du ihn rechts an und im Kontextmenü klickst du auf Löschen, dann weitersuchen mit der Taste F3, solange, bis die Registry nichts mehr findet. Alle gefundenen Einträge über das Kontextmenü Löschen enfernen. Schliesse die Registry.

    Öffne die Registry erneut (Start - Ausführen - regedit - OK)
    Du siehst die Unterschlüssel, die so aussehen, wie Ordner.
    Wir brauchen den Ordner Winlogon unter
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Also vor HKEY_LOCAL_MACHINE auf das Plus-Zeichen klicken, es öffnen sich weitere Unterschlüssel, die wie Ordner aussehen. Weiter geht es mit dem Plus-Zeichen vor SOFTWARE - weiter mit Microsoft, dann wieder das Plus-Zeichen vor Windows NT und noch mal bei CurrentVersion. Den Unterschlüssel Winlogon direkt einmal anklicken.

    [​IMG]

    Jetzt öffnet sich das rechte Fenster, unter der Kategorie Namen schaust du nach Userinit, hier steht unter der Kategorie Wert ein Pfad, der so lauten sollte C:\Windows\system32\userinit.exe, weiter sollte nichts stehen.

    [​IMG]

    Evtl. steh bei dir noch was von fywmaj.exe und wenn dies so ist, mußt du den Pfad korrigieren.

    Doppelklick auf Userinit und den Pfad mit der fywmay.exe rauslöschen.

    So sollte es aussehen
    [​IMG]

    [​IMG]

    Schliesse die Registry wieder und starte mal neu. Danach startest du HijackThis nochmal und schaust nach, ob der Eintrag »F2 - REG:system.ini: UserInit=userinit.exe« noch vorhanden ist.

    pan_fee
     
  6. Also, habe dies alles getan(übrigens ne super Beschreibung )
    AAAAAAAAber....

    C:\DOKUMENTE UND EINSTELLUNGEN\SIRDANY\MSDIRECTX.SYS.VIR

    Ist das Trojanische Pferd TR/Spy.Agent.dg.2.B

    vorher hieß er nur msdirectx....

    habe auch n windows update gemacht von der microsoft homepage..

    neustes hijack:


    unning processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\PROGRA~1\INCRED~1\bin\IBMain.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Programme\AVPersonal\GUARDGUI.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Dokumente und Einstellungen\Sirdany\Desktop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    O2 - BHO: IBBHO - {12BA043E-293E-4CE4-A8C7-8460934FE801} - C:\Programme\IncrediBar\bin\IBBHO.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: IncrediBar - {D8073790-84C7-4602-BF77-C6ACBF1612E4} - C:\Programme\IncrediBar\bin\IBTBar.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: IncrediBar - {023FA804-DCE1-4817-94ED-6BA4200F9AF2} - C:\Programme\IncrediBar\bin\IBTBar.dll
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120123011904
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{57E8D066-4C00-41C5-9BBE-3DBAC36B7A96}: NameServer = 195.202.32.79 195.202.33.68
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE



    ich möchte jedoch unbedingt Format C:\ vermeiden wenns denn geht....

    Um Hilfeflehender Sirdany
     
  7. dann hat dein H+BEDV AntiVir die Datei schon unbenannt

    super ;)

    ups, da fehlt der Kopf ???

    kann aber nichts verdächtiges erkennen.

    pan_fee
     
  8. antivir meinte ich sollte neustarten,danach wirds gelöscht,seit dem kam keine neue Meldung :)

    Vielen lieben Dank pan :)

    tolles Forum hier,hoffe jedoch diebezüglich muss ich mich nicht mehr melden

    ;D
     
  9. danke allen ich habe keine probs mehr mit dem trojan aber bei mir hiess er anders irgendwas mit xpjava.exe und es ging aber genau so zu entfernen THX nochmal ein tolles forum :D
     
Die Seite wird geladen...

TR/Spy.Agent.dg.2.B Hilfeeeee - Ähnliche Themen

Forum Datum
Windows startet nicht nehr! hilfeeeee Windows XP Forum 2. Sep. 2009
Benutzerkonto mit Adminrechten unsichtbar HILFEEEEE Windows XP Forum 6. Feb. 2007
Nix Geht Mehr - Sämtliche Dienste Beim Teufel - Hilfeeeee! Windows XP Forum 29. Dez. 2006
htaccess-Datei: HILFEEEEE !!! Windows XP Forum 5. Aug. 2006
HILFEEEEEEEEEE - Keine Internetverbindung mehr nach Providerwechsel Netzwerk 4. Mai 2005