Win XP: Backdoor.Agent.B

Der da?
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.html
da steht unten: (ich hoffe du kannst ein wenig Englisch, es geht darum einen Wert aus der Registrierung zu löschen und diese aber vorher zu sichern)
To delete the value from the registry

Important: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only.
Registrierung sichern: windows Taste + R gleichzeitig drücken, regedit eingeben, auf 'Datei/Exportieren' drücken und in einem erstellten Ordner namens Backup oder so abspeichern. Beim Namen der Datei am Besten das aktuelle Datum eingeben.
Registrierung zurückholen: Das gleiche wie vorher nur auf 'importieren' gehen. Alternativ kann man auch einfach auf die gesicherte Datei doppelklicken

Click Start > Run. Type regedit. Then click OK.

Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


In the right pane, delete the value:

"*<1-5 random characters>" = "RUNDLL32 %System%\(DLL filename).dll,StreamingDeviceSetup"


Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

Rename the subkey:

"Windows"

to

"Windows0"

Wait approximately 5 seconds.

Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

Rename the subkey:

"Windows0"

to

"Windows"

Navigate to the key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows


In the right pane, double-click the following registry value name:

"AppInit_DLLs"

and delete the following text from the contents of the Value Data box:

%System%\<DLL filename>.dll

Exit the Registry Editor.

Hallo und Danke,
ich selber bin dem Englischen nicht so mächtig...
Für Urlaub im Amiland reichte es aber für den PC  

Habe diese Seite auch über Norton bekommen aber es funkt nicht, liegt wohl an meinen Englisch...

Werde aber einen Englischen Gast einspannen, danke für die Hilfe.

Ein Router ist natürlich ein erweiterter Schutz weil er zumeist über einen integrierten Firewall verfügt. Allerdings lohnt sich das erst, wenn mehrere Computer ans Internet sollen. Sonst genügt auch ein guter Desktop-Firewall wie z.B. Sygate-Firewall-Platinum
Aber  - natürlich - es braucht eine Menge Zeit sich dann auch damit genügend auseinanderzusetzen.

Die gleiche Prozedur macht sp-cleaner und löscht auch gleich die aufgerufene/versteckte DLL

Gruß

Hi, habe für dich ein bisserl gegoogelt, so ähnlich meinten die es wohl :


Start<Ausfuehren<regedit...loesche auf der rechten Seite, wenn es da ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"RUNDLL32 %System%\(DLL filename).dll,StreamingDeviceSetup"

# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
# Benenne um :
"Windows"
zu
"Windows0"


Warte 5 Sekunden

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Benenne um :

"Windows0"
ZU
"Windows"

# HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

# rechts doppelclick :

"AppInit_DLLs"

und loesche in der Value Data box:

%System%\<DLL filename>.dll

schliesse die Registry
und anschließend nochmal scannen

Gibt aber evtl nen leichteren weg erstmal ruhe zu haben :

Um Backdoor.Agent.B manuell zu entfernen, folgende Schritte durchführen:

Step 1
Im TaskManager [Ctrl+Alt+Enf] folgende Tasks killen:

21f51744.exe
2d8734c2.exe
39b59ea7.exe
backdoor.agent.l.exe
backdoor.agent.m.exe
f5ac2742.exe
flux.exe
unpacked.exe

Step 2
Danach in der Kommandozeile:
regsvr32 /u %windir%\b43a782e.dll

Step 3
System rebooten

Step 4
Folgende Dateien entfernen (je nach Variation des Trojaners kann es sein, dass nicht alle Files vorkommen)
21f51744.exe
2d8734c2.exe
39b59ea7.exe
b43a782e.dll
backdoor.agent.l.exe
backdoor.agent.m.exe
f5ac2742.exe
flux.exe
readme.txt
unpacked.exe

Oder hier nachschauen :
www.pestpatrol.com/pest_info/de/b/backdoor_agent.asp

http://www.nickles.de/static_cache/537730242.html

http://www.paules-pc-forum.de/phpBB2/ptopic,152684.html

So das war einiges zum durchlesen
Nur noch ne bitte an dich in zukunft doch möglichst alle sicherjeitspatches draufbügeln und 1X wöchentlich überüfen da dein rechner sonst weiterhin als viren schleuder benutzt wird .
solltes dir auch mal deine dienste unter xp genauer anschauen  kannst den rechner damit evtl. schneller und wesentlich sicherer machen http://www.ntsvcfg.de/

...dann noch gutes gelingen

Hallo, habe auch den backdoor.agent.b.
Hier mein hijack log:

Logfile of HijackThis v1.98.2
Scan saved at 16:45:01, on 04.10.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Dokumente und Einstellungen\Licht-Design Severin\service.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Spyware Doctor\spydoctor.exe
C:\Programme\Eumex 404PC\Capictrl.exe
C:\Programme\SFIRM32\SFAutomat.exe
C:\Programme\TELEDAT\SYSTEM\ccui.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\TELEDAT\SYSTEM\ccsrv.exe
C:\HijackThis.exe
C:\WINDOWS\System32\MsiExec.exe
C:\HijackThis.exe
C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [SfWinStartInfo] c:\programme\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [WIN32] C:\Dokumente und Einstellungen\Licht-Design Severin\service.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\TELEDAT\SYSTEM\ccui.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: SFirm Automat.lnk = C:\Programme\SFIRM32\SFAutomat.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://81.211.105.37/sv/online.chm::/on-line.exe

Dein LOg schaut aber nicht danach aus...

Ansonsten probier den SP-Cleaner link is weiter oben.

Fixen kannste O16

Und dann Browser wechseln Firefox/Opera etc.. sonst biste dauern wieder infiziert

Gruß