Forum
Tipps
News
Menu-Icon

Backdoor.Agent.B... Bei mir ist er da, aber auch nicht? Kann dazu nichts finden

Also...

ich dreh hier am Rad.

Norton sagt:
Backdoor-agent.B

kann aber nicht repariert werden ->>> Isoliert


b.a.b removal tool von Norton sagt:
b.a.b ist garnicht auf dem PC zu finden.

Dann hab ich weiter gegoogelt.
Gefunden: regedit bestimmte Dinge ändern...
ich such nach den Einträgen ->>> nicht zu finden.


ICH BIN TOTAL VERWIRRT.

Dazu kommt noch, dass sich seit dem immer so kleine Fenster öffnen, die ich mit OK bestätigen muss.
-meistens steht im ersten Fenster ...occured...
und im zweiten Fenster: bla bla... (jedenfalls muss was geschlossen werden)
Soeben öffnete sich ein Dos-Fenster und eine Meldung:
C:\Dokume~1\P+1\herovan.exe
C:\Windows\System32\Autoexex.NT. Die Sytsemdatei ist nicht geegeinet, um Anwendungen für MS-Dos oder Microsoft Windows auszuführen. Klicken Sie auf "Schließen", um die Anwendung zu beenden.

Auswahlmöglichkeiten: Schließen + Ignorieren.


Ich brauch dringend Hilfe.
Hab schon viel gegoogelt...
nichts ähnliches zu finden.

Danke.
Gruß,
P.   

« Letzte Änderung: 14.07.07, 12:34:16 von Martin »


Antworten zu Backdoor.Agent.B... Bei mir ist er da, aber auch nicht? Kann dazu nichts finden:

genauer Text der Fenster:

1) Error Occured, Programm will exit now

2) Initialization error!

« Letzte Änderung: 14.07.07, 12:34:33 von Martin »
Hier Escan runterladen->updaten wie beschrieben->Offline gehn->Systemwiederherstellung deaktivieren(ME/XP)

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten(siehe Systemwiederherstellung deaktivieren) -> Escan starten (doppelklick mwavscan.com) -> Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).

Danach ganz normal booten und wenns immernoch so ist ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren und gut.

Und dann am besten das System updaten(windows-Update) den Browser wechseln zb Firefox, weil die meisten Hijacker/Downloader über IE-Sicherheitslücken aufs System kommen.

Gruß

Das wird immer schlimmer...

ständig öffnen sich irgendwelche pages (unter anderem auch eine Erotikseite)
und dann ist  jeztt auch noch so eine Search-Bar auf meinem Pc und ich weiß nicht, wie ich die weg bekomme.

Hier mal mein Log:
Logfile of HijackThis v1.98.2
Scan saved at 10:45:50, on 15.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
E:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
E:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\golumm\services.exe
E:\Programme\DX-Browser\spyblocker.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\Programme\Spamihilator\spamihilator.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Date Manager\DateManager.exe
E:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
E:\Programme\MediaKey\Versato.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\MediaKey\MePlayer.exe
E:\Programme\MediaKey\OSD.EXE
E:\Programme\MediaKey\MailChk.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Programme\Hijack\HijackThis.exe
C:\Programme\DX-Browser\DXBrowser.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=137837
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=137837
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\P~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\P~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=137837
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\P~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - (no file)
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem302.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] E:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [NAV Agent] E:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [pahpzq] C:\WINDOWS\System32\gamskxuk.exe
O4 - HKLM\..\Run: [golumm] C:\WINDOWS\System32\golumm\services.exe
O4 - HKLM\..\Run: [Sys29] c:\windows\system32\wintph32.exe
O4 - HKLM\..\Run: [SpyBlocker] E:\Programme\DX-Browser\spyblocker.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKCU\..\Run: [Spamihilator] "E:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [Bttd] C:\Dokumente und Einstellungen\P\Anwendungsdaten\atsw.exe
O4 - HKCU\..\Run: [Jydmbdno] C:\WINDOWS\System32\kcpqc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Versato.lnk = E:\Programme\MediaKey\Versato.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Dokumente und Einstellungen\P\Desktop\Desktop\Toptip.exe
O9 - Extra 'Tools' menuitem: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Dokumente und Einstellungen\P\Desktop\Desktop\Toptip.exe
O9 - Extra button: Search * bitte keine illegalen Tipps *s at * bitte keine illegalen Tipps *Spider.NET - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://* bitte keine illegalen Tipps *spider.net/ie/btn.php (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Search * bitte keine illegalen Tipps *s at * bitte keine illegalen Tipps *Spider.NET - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - http://* bitte keine illegalen Tipps *spider.net/ie/btn.php (file missing) (HKCU)
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: v2cab - http://install.searchmiracle.com/cab/v2cab.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1023_EN_XP.cab
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c8f9c464b4dcd5555167068824acacb7b7f55a8b57135786038853b6e841b9a57f3f159a6541ef5d788b8d13da80dca2c11:1e8b55ca59297b294d12cbd5372935d8
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{61DD6092-EE30-4D7B-BFBB-8040288F96DB}: NameServer = 62.225.244.197,192.168.0.100
O18 - Filter: text/html - {38F1EA87-3638-47DE-95A9-37B4ADB5EEF2} - C:\WINDOWS\System32\fbfma.dll
O18 - Filter: text/plain - {38F1EA87-3638-47DE-95A9-37B4ADB5EEF2} - C:\WINDOWS\System32\fbfma.dll

 

« Letzte Änderung: 14.07.07, 12:34:57 von Martin »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Du hast da noch einiges drauf.
Kopier mal dein log in die Automatische Auswertung .
Da siehst du, was du noch fixen musst. (alles Rote!)

« Letzte Änderung: 15.09.04, 12:22:59 von rolwei »

Hier mein neuer Log...

Hoffe, der ist clean und alles läuft wieder...


danke schonmal.

Gruß,
P.

LOG:

Logfile of HijackThis v1.98.2
Scan saved at 12:36:31, on 15.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
E:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\golumm\services.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Programme\MediaKey\Versato.exe
E:\Programme\MediaKey\MePlayer.exe
E:\Programme\MediaKey\OSD.EXE
E:\Programme\MediaKey\MailChk.exe
E:\Programme\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] E:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [NAV Agent] E:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [pahpzq] C:\WINDOWS\System32\gamskxuk.exe
O4 - HKLM\..\Run: [Sys29] c:\windows\system32\wintph32.exe
O4 - HKLM\..\Run: [SpyBlocker] E:\Programme\DX-Browser\spyblocker.exe
O4 - HKCU\..\Run: [Spamihilator] "E:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [Bttd] C:\Dokumente und Einstellungen\P\Anwendungsdaten\atsw.exe
O4 - HKCU\..\Run: [Jydmbdno] C:\WINDOWS\System32\kcpqc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Versato.lnk = E:\Programme\MediaKey\Versato.exe
O9 - Extra button: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Dokumente und Einstellungen\P\Desktop\Desktop\Toptip.exe
O9 - Extra 'Tools' menuitem: TOPTIP Web Editor - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Dokumente und Einstellungen\P\Desktop\Desktop\Toptip.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095243131796
O17 - HKLM\System\CCS\Services\Tcpip\..\{61DD6092-EE30-4D7B-BFBB-8040288F96DB}: NameServer = 62.225.244.197,192.168.0.10 

« Letzte Änderung: 14.07.07, 12:35:10 von Martin »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Hier
Und dann am besten das System updaten(windows-Update) den Browser wechseln z.B. zum Firefox, weil die meisten Hijacker/Downloader über IE-Sicherheitslücken aufs System kommen.

Gruß
Na ja, sieht schon besser aus.
Aber Nighty hat schon recht,
nimm den Firefox zum Surfen und nur zu Windows Update den IE.

Ausserdem kann ich dir noch empfehlen Spybot herunterzuladen und zu installieren. Das Programm solltest du dir ein bisschen genauer ansehen, vor allem den 'erweiterten Modus' und da die Werkzeuge und in diesen die 'Browser Seiten' und die 'Host Datei'.
Dann ist es immer gut mit diesem Programm zu immunisieren. So schützt man sich vor zukünftigen Problemen.
« Letzte Änderung: 15.09.04, 14:03:19 von rolwei »

Das sind wahrscheinlich auch Schädlinge:
O4 - HKLM\..\Run: [pahpzq] C:\WINDOWS\System32\gamskxuk.exe
O4 - HKLM\..\Run: [Sys29] c:\windows\system32\wintph32.exe

Die kannste hier mal prüfen:

Kaspersky-Online Virentest

Gruß


« SCHEIß WURMunbekanntes Virus??? »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Microsoft Office
MS Office ist ein Software-Paket des amerikanischen Unternehmens Microsoft für die Betriebssysteme Windows und Mac OS. Zu dem Paket gehören Programme wie Word, ...

Microsoft
Microsoft - oder "Microsoft Corporation", gegründet 1975 von Bill Gates und Paul Allen, ist einer der weltweit führenden Softwarehersteller. Ursprünglich f...

Hypertext
Hypertext ( zu Deutsch: Übertext) ein ein von dem Informatiker Theodore L. Nelson in den sechziger Jahren geprägter Begriff für Text, der dreidimensional g...