Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Agobot eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.08.2006, 16:10   #1
atimaster
 
Agobot eingefangen - Standard

Agobot eingefangen



Moin
Zone Alarm Pro hat heute diese Meldung rausgegeben:

http://img301.imageshack.us/my.php?image=zadw6.jpg

HiJackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:10:09, on 09.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Zone Labs\ZoneAlarm\zlclient.exe
D:\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Uptime\client.exe
D:\HDD Thermometer\HDD Thermometer.exe
D:\QIP\qip.exe
D:\Xfire\Xfire.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\oodag.exe
D:\TurboFTP\tftpsvc.exe
D:\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
D:\AntiVir PersonalEdition Classic\sched.exe
D:\Azureus\Azureus.exe
C:\WINDOWS\system32\svchost.exe
D:\HTJ\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\cmd.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Uptime-Project] D:\Uptime\client.exe
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\cmd.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] D:\HDD Thermometer\HDD Thermometer.exe
O4 - Startup: qip 2005.lnk = D:\QIP\qip.exe
O4 - Startup: Xfire.lnk = D:\Xfire\Xfire.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NBService - Nero AG - D:\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TurboFTP Sync Service (TBFTPSyncService) - TurboSoft,Inc - D:\TurboFTP\tftpsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Habe meinen Usernamen durch "Administrator" ersetzt.

Alt 09.08.2006, 20:05   #2
nochdigger
 
Agobot eingefangen - Standard

Agobot eingefangen



mOIn atimaster,
lasse mal diese Datei
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\cmd.exe
bitte hier
http://www.virustotal.com/en/indexf.html
oder
http://virusscan.jotti.org/de/
hier auswerten und poste die Ergebnisse (auch die Dateigrößen) egal ob was gefunden wird oder nicht.
MFG
__________________


Alt 10.08.2006, 19:55   #3
atimaster
 
Agobot eingefangen - Standard

Agobot eingefangen



Danke für die antwort.
ÄÄhh....wie mach ich dasn? iss dochn Registry Schlüssel....wie soll ich die denn testen?

thx
__________________

Alt 10.08.2006, 20:19   #4
Sunny
Administrator
> Competence Manager
 

Agobot eingefangen - Standard

Agobot eingefangen



Zitat:
Zitat von atimaster
Danke für die antwort.
ÄÄhh....wie mach ich dasn? iss dochn Registry Schlüssel....wie soll ich die denn testen?
Du sollst ja auch nicht den Registry Eintrag analysieren lassen sondern folgende Datei

Zitat:
C:\WINDOWS\cmd.exe
Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 12.08.2006, 18:47   #5
atimaster
 
Agobot eingefangen - Standard

Agobot eingefangen



Ahso

Virustotal sagt:

Your file "cmd.exe" is queued in position: 60. Estimated start time is between 5 and 8 minutes.

Iss son Rotes Schild neben (nich gut )

Und jotti sagt:

http://img65.imageshack.us/img65/4122/asdsadsadasdsadasdk9.jpg

Was soll ichn nu machen?

Danke


Alt 12.08.2006, 18:55   #6
nochdigger
 
Agobot eingefangen - Standard

Agobot eingefangen



mOIn atimaster,
du hast in der Warteschleife gehangen, versuche es nochmal mit der cmd.exe aber es kann bis 6-7 minuten dauern bis du die Auswertung siehst.
MFG

Alt 12.08.2006, 18:55   #7
Sunny
Administrator
> Competence Manager
 

Agobot eingefangen - Standard

Agobot eingefangen



ich traue dieser cmd.exe nicht wirklich! Nicht zu verwechseln mit der Systemverwandten, diese steht im System32 Ordner.

Versuch nochmal den Scan bei Virustotal, warte dieses mal ab, bis der Scan vollständig fertig ist...

Moin nochdigger
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 12.08.2006, 19:19   #8
nochdigger
 
Agobot eingefangen - Standard

Agobot eingefangen



mOIn [Gc]Sunny,
auch wenn ich nicht in die Kirche gehe, glaube ich mit dir, den bei Jotti ist die Datei als Bifrose D identifiziert worden und was der Schädling kann sieht man hier
klick

Alt 12.08.2006, 19:38   #9
Sunny
Administrator
> Competence Manager
 

Agobot eingefangen - Standard

Agobot eingefangen



Zitat:
Zitat von nochdigger
mOIn [Gc]Sunny,
auch wenn ich nicht in die Kirche gehe, glaube ich mit dir, den bei Jotti ist die Datei als Bifrose D identifiziert worden und was der Schädling kann sieht man hier
klick
Es kann natürlich auch sein das die Datei cmd.exe insoweit schon wieder modifiziert ist, das kein AV-Scanner diese erkennt! (so zumindest meine Theorie!)
Demnach würde ich erst recht das System neuaufsetzen..

Sorry
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 12.08.2006, 19:54   #10
nochdigger
 
Agobot eingefangen - Standard

Agobot eingefangen



Naja warten wir mal das Ergebnis von Virustotal ab(wenig Hoffnung hab).
Werden die hochgeladenen Dateien eigentlich an die Hersteller der
AV Programme weitergeleitet zur weiteren Auswertung?
MFG

Alt 12.08.2006, 19:59   #11
Sunny
Administrator
> Competence Manager
 

Agobot eingefangen - Standard

Agobot eingefangen



Zitat:
Zitat von nochdigger
Naja warten wir mal das Ergebnis von Virustotal ab(wenig Hoffnung hab).
Werden die hochgeladenen Dateien eigentlich an die Hersteller der
AV Programme weitergeleitet zur weiteren Auswertung?
MFG
So weit wie ich weiß, JA! Sonst würde das ganze auch recht wenig Sinn machen, außerdem geht das so viel schneller als das jeder User einzeln die Dateien hochlädt zu den AV-Herstellern!
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 12.08.2006, 22:51   #12
atimaster
 
Agobot eingefangen - Standard

Agobot eingefangen



Hallo!
Virusscan sagt nun das:

http://img218.imageshack.us/img218/3816/lololololololoololololoooolloldp9.jpg

Bitte nicht schon wieder Formatieren....ich hab das gerade mit dem BackUp gemacht aber kurz nachdem ich den Agobot schon drin hatte. Soll ich die cmd nicht einfach löschen und von der Windows CD kopieren? Also das ich wieder ne neue habe.

Danke an alle!

Alt 12.08.2006, 23:13   #13
nochdigger
 
Agobot eingefangen - Standard

Agobot eingefangen



mOIn nochmal,
es tut mir leid, aber 'nen anderen Rat als wie Neuaufsetzen, wird dir hier am Board glaub ich keiner geben.

Schau mal was das Mistvieh alles kann :
* Ermöglicht Dritten den Zugriff auf den Computer
* Stiehlt Daten
* Reduziert die Systemsicherheit
* Installiert sich in der Registrierung
* Hinterlässt nicht infizierte Dateien auf dem Computer
d.h. die Virenscanner finden evtl. nicht mal alle Dateien die zu diesem Schädling gehöhren.

Setze dein System neu auf, um wieder ein vertrauenswürdiges System zu erhalten und ändere deine Passwörter.
Hier ist eine sehr gute Anleitung zum Neuaufsetzen
MFG

Antwort

Themen zu Agobot eingefangen
acrobat, administrator, adobe, antivir, avira, bho, button, check, dateien, explorer, helper, hotkey, icq, internet, internet explorer, link, log, messenger, pdf, programme, software, system, system32, windows, windows xp



Ähnliche Themen: Agobot eingefangen


  1. TR/ATRAPS.Gen bzw. Agobot-Infekt?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2010 (36)
  2. Agobot-ku worm
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (14)
  3. Agobot-ku worm
    Plagegeister aller Art und deren Bekämpfung - 17.10.2009 (4)
  4. winlog.exe ist Backdoor.Agobot.LF?
    Plagegeister aller Art und deren Bekämpfung - 06.09.2009 (42)
  5. W32/Rbot-ZZ, Backdoor.IRC.Aladinz.L und W32/Agobot-LF?
    Log-Analyse und Auswertung - 26.09.2007 (9)
  6. Wahrscheinlich W32/Agobot-TB eingefangen - HiJackThis Log-File -
    Log-Analyse und Auswertung - 08.01.2007 (5)
  7. Agobot ku steht im Autostart
    Plagegeister aller Art und deren Bekämpfung - 19.09.2006 (10)
  8. W32/Agobot-BM
    Log-Analyse und Auswertung - 02.09.2005 (16)
  9. agobot 525097 hilfe bitte
    Plagegeister aller Art und deren Bekämpfung - 28.08.2005 (7)
  10. Backdoor.Win32.Agobot.aal
    Plagegeister aller Art und deren Bekämpfung - 23.03.2005 (1)
  11. Backdoor.Win32.Agobot.aal
    Plagegeister aller Art und deren Bekämpfung - 23.03.2005 (2)
  12. Backdoor.Agobot.ID?
    Log-Analyse und Auswertung - 16.01.2005 (8)
  13. Worm Agobot
    Log-Analyse und Auswertung - 19.12.2004 (1)
  14. Wurm/Agobot.136218
    Antiviren-, Firewall- und andere Schutzprogramme - 30.11.2004 (1)
  15. Hilfe bei Agobot 136218
    Log-Analyse und Auswertung - 07.11.2004 (2)
  16. hilfe....agobot
    Plagegeister aller Art und deren Bekämpfung - 27.07.2004 (1)
  17. Agobot / Gaobot - wer kann helfen???
    Plagegeister aller Art und deren Bekämpfung - 13.11.2003 (3)

Zum Thema Agobot eingefangen - Moin Zone Alarm Pro hat heute diese Meldung rausgegeben: http://img301.imageshack.us/my.php?image=zadw6.jpg HiJackthis Log: Logfile of HijackThis v1.99.1 Scan saved at 16:10:09, on 09.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet - Agobot eingefangen...
Archiv
Du betrachtest: Agobot eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.