| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.agent.abf von 1&1 MailWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
10.01.2007, 09:35
| #1 |
| |  Backdoor.Win32.agent.abf von 1&1 Mail Hallo, Habe hier einen Rechner der mit dem Trojaner  aus der 1und1 Email infiziert ist.Es wäre sehr dringend da es sich um eine Workstation handelt. Hier das HijackThis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 09:22:46, on 10.01.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Norton Ghost 2003\GhostStartService.exe c:\programme\syslogd\syslogd_service.exe C:\Programme\NMapWin\bin\nmapserv.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\Programme\Symantec AntiVirus\SavRoam.exe C:\WINNT\system32\MSTask.exe C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\Mixer.exe C:\Norton Ghost 2003\GhostStartTrayApp.exe C:\PROGRA~1\SYMANT~2\VPTray.exe C:\WINNT\system32\internat.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe D:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe C:\Programme\WinZip\WZQKPICK.EXE F:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programme\ScanSoft\PDFConverter 2.0 Professional\PDFConv\\RegistryController.exe" O4 - HKLM\..\Run: [winshost.exe] C:\WINNT\system32\winshost.exe O4 - HKLM\..\Run: [Update] C:\Programme\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [winshost.exe] C:\WINNT\system32\winshost.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: TK-Suite Client.lnk = D:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 2.0) - res://C:\Programme\ScanSoft\PDFConverter 2.0 Professional\PDFConv\IEShellExt.dll /500 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {3B2E9991-0C57-426F-A5E4-784C7A5C6420} (Datasheet control) - http://alldatasheet.com/Datasheet.cab O16 - DPF: {3FBAA996-55CF-47FA-A231-A94829D1E364} (alldatasheet control) - http://alldatasheet.com/alldatasheet.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {B8634A6E-38D5-4AAE-8708-3F3DB92FF9D0} (NTR Activex 1.0.8) - http://217.17.17.115/inquiero/mod/setup/ntractivex108.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = scanvest.de O17 - HKLM\System\CCS\Services\Tcpip\..\{049E04C1-6CF1-43DE-B00B-4A9D9882527A}: NameServer = 194.25.2.129,212.185.251.41 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = scanvest.de O17 - HKLM\System\CS1\Services\Tcpip\..\{049E04C1-6CF1-43DE-B00B-4A9D9882527A}: NameServer = 194.25.2.129,212.185.251.41 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = scanvest.de O17 - HKLM\System\CS2\Services\Tcpip\..\{049E04C1-6CF1-43DE-B00B-4A9D9882527A}: NameServer = 194.25.2.129,212.185.251.41 O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Norton Ghost 2003\GhostStartService.exe O23 - Service: Kiwi Syslog Daemon - Kiwi Enterprises - c:\programme\syslogd\syslogd_service.exe O23 - Service: NMap - Unknown owner - C:\Programme\NMapWin\bin\nmapserv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe MfG MePHisto |
|
10.01.2007, 12:15
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Backdoor.Win32.agent.abf von 1&1 Mail Wenn der in einem Adminkonto ausgeführt wurde, hast du leider Pech gehabt, das System muss dann neu aufgesetzt werden.
__________________Auf der Kiste läuft Ghost, warum spielst du nicht einfach ein Image zurück? 
__________________ |
|
10.01.2007, 14:28
| #3 |
| | Backdoor.Win32.agent.abf von 1&1 Mail Oh je,
__________________das wird meinem kolegen nicht gefallen...ich hoffe das ghost ist ne lösung danke erst mal MfG MePHisto |
|
10.01.2007, 16:33
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor.Win32.agent.abf von 1&1 Mail So ein Backupprogramm ist schon ne feine Sache...nur ziemlich sinnfrei wenn man es denn nicht regelmäßig nutzt um die Images anzufertigen... 
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu Backdoor.Win32.agent.abf von 1&1 Mail |
| adobe, antivirus, bho, converter, dringend, email, explorer, handel, heulen, hijack, hijackthis, hijackthis logfile, infiziert, internet, internet explorer, logfile, nvidia, pdf, pdfconverter, programme, registry, rundll, server, software, symantec, system, trojaner, windows |
Linear-Darstellung
