Worm/Agobot NN/A

Hallo,

versuch es mal mit TrendMicro.
Der Scann sollte aber im abgesicherten Modus laufen.

http://de.trendmicro-europe.com/enterprise/support/tsc.php
Virenscanner und aktuelle Patterndatei in ein Verzeichnis extrahieren.

virenscans imme im abgesicherten,
antivir das neueste update findet ihn auf jeden fall.

bei mir wars hkey.exe im system32.

@coccyx

Es ist falsch das man immer die Virenscanner nur im abgesicherten bereich benutzen soll das kommt immer auf das problem an.

Ich empfehle euch sowieso Norten Antivirus 2003 oder 2004 inklusive der Firewall dann kann euch eigentlcih nichts passieren.

MFG Thunder

Es ist falsch das man immer die Virenscanner nur im abgesicherten bereich benutzen soll das kommt immer auf das problem an.

Mein lieber Nighty ich habe nicht gesagt das es falsch ist im abgesicherten modus diese Dinge zu erledigen sonder ich habe gesagt das mann es nicht muß!

Thunder

Ja aber Gründe,Kriterien,Fakten haste noch keine genannt warum das so sein sollte...das is doch der springende Punkt dabei..

Gruß

also bei mir liegt er im system volume information ordner... alle scanner machen die datei zwar platt aber sie kommt immer wieder, eine andere verseuchte datei findet er nicht! wat nu?

Schau mal das 2te Posting von Achim an..das besorgen und im abgesicherten-Modus scannen lassen, dann sollte er auch weg sein danach

Eventuell danach noch ein Hijackthis LOg posten um die Aufrufe noch zu fixen

Gruß

hallo zusammen!
ich hab nun schon mindestens 5 verschiedene scanner, auch den hier erwähnten, laufen lassen und mittlerweile wird auch nix mehr gefunden. aber die internetseiten, die der würm unterdrückt (zB symantec.com), lassen sich immer noch nicht wieder aufrufen.
hat jemand eine idee? bin für jede hilfe dankbar!

mfg
Alex

Guckst du:
http://www.computerhilfen.de/magazin_spyware.php3#hijack

Log machen und posten

Gruß

Moin Moin, da bin ich wieder!
also hab alles gemacht wie vorgeschlagen, nur leider kommt der sasser immer wieder!!!

hier mal der log:
Logfile of HijackThis v1.97.7
Scan saved at 11:51:06, on 02.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Prg\Security\POW\pow.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Prg\Security\AntiVir\AVGNT.EXE
C:\Prg\Security\AntiVir\AVGUARD.EXE
C:\Prg\Security\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\explorer.exe
C:\Prg\Chat\ICQ\Icq.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\SiLenCer\Desktop\virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Prg\Adobe\Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Prg\Security\AntiVir\AVGNT.EXE /min
O4 - Startup: pow.exe.lnk = C:\Prg\Security\POW\pow.exe
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: XM2002® (HKLM)
O9 - Extra 'Tools' menuitem: &XM2002® (HKLM)
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot4_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt2_x.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/stop-sign_stp.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A680C6D6-BB56-4105-B2D4-A487A71D407E}: NameServer = 213.191.92.87 213.191.74.18
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = cns.fra.dlh.de,ADS,sap.fra.dlh.de,ham.dlh.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = cns.fra.dlh.de,ADS,sap.fra.dlh.de,ham.dlh.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = cns.fra.dlh.de,ADS,sap.fra.dlh.de,ham.dlh.de

ist zuviel verlangt wenn man mal drüberschaut oder? ;-)
bin langsam echt am verzweifeln, mein AV findet immer wieder eine verseuchte exe vom sasser löscht diese, aber es findet sich nix mehr in der registry oder sonstwo!
argh...

Den soltest mal prüfen:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

Kannste hier Online:
http://www.kaspersky.com/de/remoteviruschk.html

Wenn du die Registry/Explorer Einschränkungen selber gesetz hast kannst sie lassen ansonsten fixen

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Und unbedingt regelmässig Windows-Update ausführen...
Für die Sicherheitslücke über die sich Sasser verbreitet, wurde vor 2 Wochen schon ein Patch breitgestellt.

Gruß

danke dir!
die einschränkungen hat sybot für mich gesetzt...
und den patch WindowsXP-KB835732-x86-DEU.EXE hab ich schon seit 16.04. eingespielt bei mir!

Jo dann könntest noch TCP port 5554(incoming/outgoing)  schliessen in der Firewall

Dann dürfte auf jedenfall nix mehr gehn

Gruß