Worm/Agobot NN/A

Hallo,

versuch es mal mit TrendMicro.
Der Scann sollte aber im abgesicherten Modus laufen.

http://de.trendmicro-europe.com/enterprise/support/tsc.php
Virenscanner und aktuelle Patterndatei in ein Verzeichnis extrahieren.

virenscans imme im abgesicherten,
antivir das neueste update findet ihn auf jeden fall.

bei mir wars hkey.exe im system32.

@coccyx

Es ist falsch das man immer die Virenscanner nur im abgesicherten bereich benutzen soll das kommt immer auf das problem an.

Ich empfehle euch sowieso Norten Antivirus 2003 oder 2004 inklusive der Firewall dann kann euch eigentlcih nichts passieren.

MFG Thunder

Es ist falsch das man immer die Virenscanner nur im abgesicherten bereich benutzen soll das kommt immer auf das problem an.

Kannst das mal näher erklären was daran falsch sein sollte?

Gruß

Mein lieber Nighty ich habe nicht gesagt das es falsch ist im abgesicherten modus diese Dinge zu erledigen sonder ich habe gesagt das mann es nicht muß!

Thunder

Ja aber Gründe,Kriterien,Fakten haste noch keine genannt warum das so sein sollte...das is doch der springende Punkt dabei..

Gruß

also bei mir liegt er im system volume information ordner... alle scanner machen die datei zwar platt aber sie kommt immer wieder, eine andere verseuchte datei findet er nicht! wat nu?

Schau mal das 2te Posting von Achim an..das besorgen und im abgesicherten-Modus scannen lassen, dann sollte er auch weg sein danach

Eventuell danach noch ein Hijackthis LOg posten um die Aufrufe noch zu fixen

Gruß

hallo zusammen!
ich hab nun schon mindestens 5 verschiedene scanner, auch den hier erwähnten, laufen lassen und mittlerweile wird auch nix mehr gefunden. aber die internetseiten, die der würm unterdrückt (zB symantec.com), lassen sich immer noch nicht wieder aufrufen.
hat jemand eine idee? bin für jede hilfe dankbar!

mfg
Alex

Guckst du:
http://www.computerhilfen.de/magazin_spyware.php3#hijack

Log machen und posten

Gruß

Moin Moin, da bin ich wieder!
also hab alles gemacht wie vorgeschlagen, nur leider kommt der sasser immer wieder!!!

hier mal der log:
Logfile of HijackThis v1.97.7
Scan saved at 11:51:06, on 02.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Prg\Security\POW\pow.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Prg\Security\AntiVir\AVGNT.EXE
C:\Prg\Security\AntiVir\AVGUARD.EXE
C:\Prg\Security\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\explorer.exe
C:\Prg\Chat\ICQ\Icq.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\SiLenCer\Desktop\virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Prg\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Prg\Security\AntiVir\AVGNT.EXE /min
O4 - Startup: pow.exe.lnk = C:\Prg\Security\POW\pow.exe
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: XM2002® (HKLM)
O9 - Extra 'Tools' menuitem: &XM2002® (HKLM)
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot4_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt2_x.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/stop-sign_stp.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A680C6D6-BB56-4105-B2D4-A487A71D407E}: NameServer = 213.191.92.87 213.191.74.18
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = cns.fra.dlh.de,ADS,sap.fra.dlh.de,ham.dlh.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = cns.fra.dlh.de,ADS,sap.fra.dlh.de,ham.dlh.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = cns.fra.dlh.de,ADS,sap.fra.dlh.de,ham.dlh.de

ist zuviel verlangt wenn man mal drüberschaut oder? ;-)
bin langsam echt am verzweifeln, mein AV findet immer wieder eine verseuchte exe vom sasser löscht diese, aber es findet sich nix mehr in der registry oder sonstwo!
argh...

Den soltest mal prüfen:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

Kannste hier Online:
http://www.kaspersky.com/de/remoteviruschk.html

Wenn du die Registry/Explorer Einschränkungen selber gesetz hast kannst sie lassen ansonsten fixen

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Und unbedingt regelmässig Windows-Update ausführen...
Für die Sicherheitslücke über die sich Sasser verbreitet, wurde vor 2 Wochen schon ein Patch breitgestellt.

Gruß

danke dir!
die einschränkungen hat sybot für mich gesetzt...
und den patch WindowsXP-KB835732-x86-DEU.EXE hab ich schon seit 16.04. eingespielt bei mir!

Jo dann könntest noch TCP port 5554(incoming/outgoing)  schliessen in der Firewall

Dann dürfte auf jedenfall nix mehr gehn

Gruß

Ich bekomm bald echt die kriese ich hab die datei in der sich der virus schon 5 mal versucht zu löschen doch das anti vir programm findet ihn immer wieder von neu und lässt sich nciht löschen.
ich weiß nicht wie ich den runter bekommen soll.
Er befindet sich im system 32. Der pc fährt aber nicht runter !!
Bin dankbar für jede gute antwort
mfg

ich weiss net ob ich richtig liege, habe aber für mich ne plausiebele erklärung gefunden. Systemordner ist das schlüsselwort... es gibt da ne einstellung, wenn ihr die eigenschaften vom Arbeitsplatz aufruft die heisst systemwiederherstellen. Ich deaktiviere diese einstellung wenn ich einen wurm habe, lösche die wurmdatei von hand und restarte mein system. Danach warte ich noch ein bis 2 restarts ab bis ich die systemwiederherstellung wieder einschalte. Hilft allerdinge net beim neuen wurm (Sasser), den habe ich manuell gelöscht wegen dem reg eintrag. Ne anleitung für den wurm findet ihr bei uns auf der webseite.

www.thu-clan.de

Aber wie gesagt ich kenn mich mit winndoof net so gut aus, als das ich für meine idee die hand ins Feuer legen würde!!

MfG

Ich empfehle euch sowieso Norten Antivirus 2003 oder 2004 inklusive der Firewall dann kann euch eigentlcih nichts passieren.

Ich kann mich dem leider nicht anschließen. Bin seit Jahren nutzer und date die Teile täglich up aber diesen Worm haben sie auch durchgelassen und nicht runter bekommen!

hallo zusammen!
ich hab nun schon mindestens 5 verschiedene scanner, auch den hier erwähnten, laufen lassen und mittlerweile wird auch nix mehr gefunden. aber die internetseiten, die der würm unterdrückt (zB symantec.com), lassen sich immer noch nicht wieder aufrufen.
hat jemand eine idee? bin für jede hilfe dankbar!

mfg
Alex

Hi,

ich hab das gleiche Problem gehabt.
Die Lösung: Agobot fügt Einträge in die "hosts"-Datei von Windows ein, die die Anfragen an die Server, z.B. von Symantec umleiten. Ich hab einfach die neuen Einträge (hinter dem vom localhost) gelöscht und es funzt wieder.
Bei XP liegt die Datei im Verzeichnis "c:\windows\system32\drivers\etc".
Hoffe das hilft.

mfg
martin

danke dir!
die einschränkungen hat sybot für mich gesetzt...
und den patch WindowsXP-KB835732-x86-DEU.EXE hab ich schon seit 16.04. eingespielt bei mir!

Also, hier werden ja eine ganze Masse an Wahrheiten dargelegt, Abgesicherter Modus, Hostdatei etc.. Ich kann euch aber vor allem raten, die Wiederherstellung abzustellen (kann man später ja wieder aktivieren...) um euch des Virus zu entledigen. Noch besser als der abgesicherte Modus ist, die Platte in eine anderes System zu mounten und von einer anderen Betriebsystemplatte durchzuscannen ( Hierbei kann das Virus nicht nicht die Hostdatei wirken lassen!). Eine andere Variante ist, onlinescans, falls man noch ins Netz und auf eine solche Seite kommt.
Klar ist, das leider die meißten nicht einsehen warum ma Patches aufspielen soll, und warum ich an meinem System nicht mit Administratorenrechten eingeloggt sein soll. Manchmal hat man den eindruck, das hier sowas wie das Porsche Syndrom rauskomt. Iss meins kann ich machem mit watt ich will! Klar, aber dann ärgert euch mal schön.
Also, nicht als Admin, und wenn Ihr was installieren wollt, kann benutz doch mal die linke Taste, beim zokken geht´s doch auch, und sagt "Ausführen als..."

ob im abgesicherten oder nicht tut oftmals nicht zur sache hauptsache ist das er aus der regedit raus ist das ist oftmals das wesentliche

Hallo, hatte das gleiche Problem. Mir hat da der Hersteller von Antivir haben mir da sehr gut weitergeholfen. Allerdings muß man die geänderte Datei schreibgeschütz absichern, dann funktioniert der Tipp auch nach Reboot. Leider bekomme ich den gesamten Tipp aber nicht mehr auf die Reihe einfach mal bei Antivir anfragen. Ging ganz schnell.

Haddock