Ein Haufen Trojaner&Co
 

Moin zusammen!
Bin echt ins schwitzen gekommen, ich krich die Viecher nicht runter :(
Habe eScan übers System laufen lassen(nicht im abgesicherten Modus, ist das nötig?), nachdem ich mit HijackThis nicht alle Trojaner, etc. entfernen konnte:
Wurde einiges gefunden, habe mir wohl so die BEST-OF der Trojaner-Downloader usw eingefangen.
-- wie soll ich jetzt vorgehen????
Einfach die gefundenen Dateien, die als Virus detected wurden löschen?
Im abgesicherten Modus?

schon mal thx für die Bemühungen!!

Sowohl scannen als auch löschen im abgesicherten Modus, ja. Welche Schädlinge wurden denn genau gefunden?
Erstelle ein HJT-Log und poste es:

http://www.trojaner-board.de/51130-a...ijackthis.html

Also der HijackThis Log is unspektakulär, da ist nur einen Sache als Böse erkannt worden, die allerdings momentan nicht mehr gefunden wird- seltsam!?
Ich poste mal beides erst Hijack und dann escan (viel interessanter)

Logfile of HijackThis v1.99.0
Scan saved at 11:41:18, on 17.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\NVATray.exe
D:\A4Tech\Mouse\Amoumain.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
D:\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Microsoft Office\Office\OSA.EXE
D:\Microsoft Office\Office\FINDFAST.EXE
C:\Firefox\firefox.exe
C:\WINNT\system32\wuauclt.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe
D:\Downloads\Security\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7BAC8D25-46F2-2848-31A3-1F0122BF739B} - C:\WINNT\addnr32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WheelMouse] D:\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: Office-Start.lnk = D:\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Microsoft Office\Office\FINDFAST.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0241a1e1...dxIE601_de.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe


eScan

File C:\WINNT\addnr32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\WINNT\addnr32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\syshosth.exe infected by "Worm.Win32.Francette.k" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\WinSVCservice.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\DANIEL~1\LOKALE~1\TEMPOR~1\Content.IE5\UL5X8P2A\go[1].gif infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\DANIEL~1\LOKALE~1\TEMPOR~1\Content.IE5\2905SLE9\tsinstall_4_0_3_7[1].exe infected by "Trojan-Downloader.Win32.TSUpdate.g" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\syshosth.exe infected by "Worm.Win32.Francette.k" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\WinSVCservice.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\YSBactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gp" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\loader2.ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.
File C:\WINNT\addnr32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Daniel Zimmermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UL5X8P2A\go[1].gif infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Daniel Zimmermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2905SLE9\tsinstall_4_0_3_7[1].exe infected by "Trojan-Downloader.Win32.TSUpdate.g" Virus. Action Taken: No Action Taken.
File C:\m00.exe infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.
File D:\AVPersonal\INFECTED\discdiag.VIR infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
File D:\AVPersonal\INFECTED\sys32spool.VIR infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
File D:\Downloads\TA\AFark.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Downloads\TA\ascarab.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Downloads\TA\chedge.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Downloads\TA\CImlator.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Downloads\TA\Necro.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Downloads\TA\StarfishIsle.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Pegasus\wpmmapi.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Das würde ich schon mal verdächtig finden:

O2 - BHO: (no name) - {7BAC8D25-46F2-2848-31A3-1F0122BF739B} - C:\WINNT\addnr32.dll

Wie es aussieht:

File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\WinSVCservice.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken.

war/ist auf deinem Rechner mindestens ein Schädling mit Backdoorfähigkeiten aktiv

http://www.sophos.de/virusinfo/analy...2agobothh.html

Logische Konsequenz wäre die Empfehlung, neu zu installieren:

http://board.protecus.de/showtopic.p...me=1097944155&

Hast du die Dateien schon gelöscht? Wie gesagt, um sicherzuegehen, dass dein System sauber ist, wäre obige Prozedur das Beste, es KANN sein, dass du alle Schädlinge gelöscht hats, aber sobald jemand von Außen Zugriff hatte, bleibt immer ein Restrisiko.

O2 - BHO: (no name) - {7BAC8D25-46F2-2848-31A3-1F0122BF739B} - C:\WINNT\addnr32.dll wurde ja auch bei eScan als Virus detected!!

Du meinst also letztendlich muss wohl neu formatiert etc. werden?
Ok aber übergangsweise, formatieren geht im Moment grad nicht, kann ich im abgesicherten Modus die Dateien löschen?