Home

Windows

Hardware

Software

Apple

Handy & Tablet

Virus W32/Agent.AB nicht weg

Rene Lammert
Gast

« am: 25.08.04, 13:48:45 »

Hallo nochmal

Ich hab eScan im abgesicherten Modus durchlaufen lassen, aber das findet meinen Virus auch nicht. Beim Scan von Services bleibt eScan bei 'windows\system32\services.exe' hängen.

Gibt es andere Möglichkeiten gegen diesen Virus vorzugehen???

Bitte helft mir!

Moderator informieren

Antworten zu Virus W32/Agent.AB nicht weg:

rolwei (4.786)

51x Beste Antwort

147x "Danke"

Re: Virus W32/Agent.AB nicht weg

« Antwort #1 am: 25.08.04, 16:44:44 »

Hat dir diese Antwort geholfen?

Hilfreiche Antwort Button

Hier mal das gleiche Problem:
http://www.trojaner-board.de/showthread.php?t=6540
Also HijackThis herunterladen on Log hier posten oder automatisch auswerten lassen.
http://www.hijackthis.de/
http://www.wintotal.de/Tipps/Eintrag.php?TID=873

Moderator informieren

Nighty
Gast

Re: Virus W32/Agent.AB nicht weg

« Antwort #2 am: 25.08.04, 16:46:43 »

Benutz mal About:Buster

Wenn das nicht hilft mach mal ein Hijackthis-Log

Gruß

Moderator informieren

Rene Lammert
Gast

Re: Virus W32/Agent.AB nicht weg

« Antwort #3 am: 26.08.04, 10:03:13 »

Ich hab jetzt hier mal die Log von Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 10:01:16, on 26.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
C:\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer2\RealPlay.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\WINDOWS\system32\cisvc.exe
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer2\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\hlpne.dll
---

Bitte Bitte helft mir jetzt!

Moderator informieren

Nighty
Gast

Re: Virus W32/Agent.AB nicht weg

« Antwort #4 am: 26.08.04, 18:56:31 »

Haste Ablout:Buster jetzt ausgeführt?

Gruß

Moderator informieren

Rene Lammert
Gast

Re: Virus W32/Agent.AB nicht weg

« Antwort #5 am: 27.08.04, 18:04:15 »

Hab das AboutBluster durchgeführt.
Beim ersten mal hat es unendlich mal die ominöse Datei c:\windows\system32\hlpne.dll removed.
Nach dem Neustart hat es dann die Datei nicht mehr gefunden aber der Virus ist laut RealTimeProtector noch da...

Hilfe!!!!!!

Moderator informieren

Nighty
Gast

Re: Virus W32/Agent.AB nicht weg

« Antwort #6 am: 27.08.04, 18:12:09 »

Hast About:Buster im abges.-Modus ausgeführt?
Ansonsten nimm sysclean auch im abges.-Modus?

Kannste noch folgendes runterladen
http://home.pages.at/winlinks/StealthTest.zip <-rechtsklick->ziel speichern

Irgendwohin entpacken und dann starten->Suche starten und das LOG mit rechtsklick ins Ergebnisfenster kopieren (in zwischenablage kopieren) und hier einfügen.

Aber solange warten bis unten kein ### Please wait ### mehr steht, musste runterscrollen um das zu sehn:

Gruß

Moderator informieren

Rene Lammert
Gast

Re: Virus W32/Agent.AB nicht weg

« Antwort #7 am: 27.08.04, 18:22:44 »

Hab jetzt auch den Stealth-Test gemacht. Hier das LOG:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: file://C:\DOKUME~1\Rene\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: file://C:\DOKUME~1\Rene\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: file://C:\DOKUME~1\Rene\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: file://C:\DOKUME~1\Rene\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search, CustomizeSearch:
R1 - HKU\.DEFA\Software\Microsoft\Internet Explorer\Main, Search Bar: http://www.google.com
R1 - HKU\.DEFA\Software\Microsoft\Internet Explorer\Main, Start Page: http://www.gericom.com
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, Search Bar: http://www.google.com
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, Start Page: http://www.gericom.com
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, Search Bar: http://www.google.com
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, Start Page: http://www.gericom.com
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, Search Bar: file://C:\DOKUME~1\Rene\LOKALE~1\Temp\sp.html
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, Search Page: http://www.google.com
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, Start Page: http://www.google.com
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
R0 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Search, SearchAssistant: file://C:\DOKUME~1\Rene\LOKALE~1\Temp\sp.html
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, Search Bar: http://www.google.com
R1 - HKU\S-1-5\Software\Microsoft\Internet Explorer\Main, Start Page: http://www.gericom.com
O2 - BHO:Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO:(no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ANTIVI~1\SPYBOT~1\SDHelper.dll
O2 - BHO:Error - {6C3BCF10-FF27-4D06-9FCA-AACD57A498DD} - C:\WINDOWS\System32\mke.dll
F2 - HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
F2 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon, Userinit: C:\WINDOWS\system32\userinit.exe,
F2 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs: C:\WINDOWS\System32\hlpne.dll
F2 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon, shell: Explorer.exe
F2 - HKU\.DEFA\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
F2 - HKU\S-1-5\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
F2 - HKU\S-1-5\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
F2 - HKU\S-1-5\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
F2 - HKU\S-1-5\Software\Microsoft\Windows NT\CurrentVersion\Windows, load:
O4 - HKCU..\Run:[CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU..\Run:[InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU..\Run:[IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU..\RunOnce:[ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot
O4 - HKLM..\Run:[ATIModeChange] Ati2mdxx.exe
O4 - HKLM..\Run:[SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM..\Run:[SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM..\Run:[PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM..\Run:[TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM..\Run:[TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
O4 - HKLM..\Run:[ICQ Lite] C:\ICQLite\ICQLite.exe -minimize
O4 - HKLM..\Run:[QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM..\Run:[RealTray] C:\Programme\Real\RealPlayer2\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM..\Run:[F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM..\Run:[ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKU\.DEFA..\Run:[CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKU\S-1-5..\Run:[CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKU\S-1-5..\Run:[CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKU\S-1-5..\Run:[CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKU\S-1-5..\Run:[InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKU\S-1-5..\Run:[IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKU\S-1-5..\RunOnce:[ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot
O4 - HKU\S-1-5..\Run:[CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
Stealthed *.dll's:

Stealthed *.exe's:

Stealthed *.sys's:

Hilf mir bitte!
Danke

Moderator informieren

Nighty
Gast

Re: Virus W32/Agent.AB nicht weg

« Antwort #8 am: 27.08.04, 18:35:12 »

Die 2 markierten Dateien sind die Verursacher.
Sind aber anscheinend 2 verschiedene Varianten.

1. Variante:
Entfernen von: file://X:\...\.\...\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: file://C:\DOKUME~1\Rene\LOKALE~1\Temp\sp.html
O2 - BHO:Error - {6C3BCF10-FF27-4D06-9FCA-AACD57A498DD} - C:\WINDOWS\System32\mke.dll

2.Variante:
Entfernen von: res://x:..\xxx.dll/sp.html#xxxx

F2 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs: C:\WINDOWS\System32\hlpne.dll

Die erste Variante sollte klar sein und auch so zu beseitigen sein wie angegeben.

Die 2te Variante isn bischen stressiger, wenn die Anleitung nicht hinhaut gehste in die Registrierung start->ausführen->regedit) zu folgendem Schlüssel:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
Dann machste nen rechtsklick auf das in der linken spalte markierte windows->umbenenne zu Windows_1 dann aus Reg-Editor wieder schliesen und neu booten.

Oder du probierst vorher den SP.Html-Cleaner sollte auch gehn der macht genau das gleiche + löscht die Dateien.

Gruß

« Letzte Änderung: 27.08.04, 18:36:25 von Nighty »

Moderator informieren

Seiten: [1]

« Internet mit Programm Sperren		Hilfe about blank ruft Porno seite auf »

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Hilfe Übersicht

| Mehr Themen zu "Virus W32AgentAB nicht weg"

Nighty Gast

Datum: 25.08.04, 13:48:45

4906x gelesen, 8 Antworten.

Seiten: [1]

0 und 1 Gast betrachten dieses Thema.

Fremdwörter? Erklärungen im Lexikon!

Virus
Als Computervirus bezeichnet man Programme, die sich ungewollt auf einem PC installieren und dan selbst weiterverbreiten und reproduzieren. Sie sind meistens darauf progr...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Mehr zu Virus W32/Agent.AB nicht weg

Spieler: Nicht auf Schutzprogramme verzichten, nicht jedes Add-on installieren!

Die Zahl der Online-Spieler wächst auch in Deutschland, und wird so ein lohnenswertes Angriffsziel ...

HKNTDLL.dll - Ein gefährlicher Virus?

Einige Antivirus-Programme erkennen in der Datei "HKNTDLL.dll" einen Virus, Spyware oder einen Keylo...

Bootsektor - Virus entfernen

Der kostenlose DOS Virenscanner F-Prot mit fast täglich aktualisierten Virendefinitionen ist eine i...

Ähnliche Fragen:

kann Virus BDS/Agent.AY nicht entfernen
Ich habe mir den o.g. Virus eingefangen (win XP), und lieder auch trotz suchen kein removaltool gefu...
Virus!!!(EXP/Agent.B)
Ich habe leider auf einer anscheinend unsicher(bösen) seite gesurft das mach ich ab jetzt niewieder...
Virus BDS/Agent.AY
SOS.Seit einiger Zeit spinnt bei mir alles mögliche,vor allem meine Festplatten (intern) und mein B...
Virus Tr/Agent.HW.1
Hallo habe zwei Viren eingefangenVirus Tr/Agent.HW.1Tr/Clicker.Smail.Anwas kann ich tun Antvirschaff...
Virus W32/Agent.AB
Hi LeuteMein Virenschutzprogramm F-Prot zeigt im RealTime Protector, dass die Datei C:\windows\syste...
Win XP: Virus " TR/Agent.33302 " geht nicht weg zumachen , was tun ?
wenn ich ein ordner oder ein programm öffnen will dann kommt die virus meldung . >:(ich ha...
sah agent .virus oder was???????
hi leute habe letzenz einen pc check gemacht mit ad aware se da kam so ein sah agent .ich weiss nich...

Computerhilfen.de Forum-Software: SMF 2.7.4 | SMF © 2024, Simple Machines
© 2001-2024, Lewis Media. Alle Rechte vorbehalten
Windows
Windows-Forum
Windows-Tipps

Apple
Apple Mac Forum
Apple Tipps

Linux
Linux-Forum
Linux-Tipps

Handy / Tablet
iPhone / iPad Forum
iPhone / iPad Tipps
Android-Forum
Android-Tipps

Hardware
Hardware-Forum
Hardware-Tipps
Netzwerk-Forum
Smart-Home Forum
Smart-Home Tipps

Software
Software-Forum
Sicherheits-Forum
Software-Tipps
Word-Tipps
Excel-Tipps
© Computerhilfen.de - Virus W32/Agent.AB nicht weg