Computerhilfen.de Logo
Forum
Tipps
News

Virus W32/Agent.AB nicht weg

Ich hab jetzt also das Hijack durchlaufen lassen.
Hier das Log:

Logfile of HijackThis v1.98.2
Scan saved at 13:46:41, on 26.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
C:\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer2\RealPlay.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\WINDOWS\system32\cisvc.exe
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\hijack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer2\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\hlpne.dll
---

Das Problem ist offensichtlich, der letzte Eintrag.
Wenn ich aber diese Zeile fixe, dann meldet sich gleich mein F-Prot RealTimeProtector und beim nächsten Hijack-Scan ist der Eintrag O20 wieder da.

Was soll ich tun?
Trotzdem schon mal danke, an alle, die hier versuchen mir zu helfen.

René



Antworten zu Virus W32/Agent.AB nicht weg:

Hallo

C:\WINDOWS\system32\slserv.exe
Wenn SIS Treiber installiert sind(meistens Board)ist dieser Prozess normal. Es könnte auch der Virus W32/Gaobot.CR sein.
Du kannst die Datei Online scannen lassen bei Kaspersky oder Rokop Security.

Gruß kito
 8)

Benutz mal den Sp.Html-Cleaner
http://www.computerhilfen.de/hilfen-17-30578-0.html

Oder du gehst in die Registrierung (start->ausführen->regedit) zu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

links ist dann Windows markiert dann machste nen rechtsklick auf das markierte Windows->umbenennen zu: Windows_1
Dann regeditor wieder schliessen und neu booten.
Dann solltest die datei löschen können und danach den Scghlüssel in Regedit wieder zu Windows umbenennen.

Gruß

« Letzte Änderung: 28.08.04, 19:02:23 von Nighty »

Hi

Der Sp.Html-Cleaner hat mir auch nicht weiter geholfen.
Durch die REgistry-Änderung kann ich jetzt die Datei zwar sehen, aber löschen kann ich sie nicht, weil der Zugriff verweigert wird (auch im abgesicherten modus). Was kann ich da nun jetzt machen?

Bitte helft mir noch mal
Danke

Such mal bei den Diensten ob du einen der 3 folgenden findest:
- Network Logon Service
- Workstation Netlogon Service
- Remote Procedure Call (RPC) Helper

Wenn ja beenden->startart auf disabled->in den eigenschaften nach dem Pfad shauen und die Datei löschenh und dann neu booten.

Ansonsten:

Hier Escan runterladen->updaten wie beschrieben->Offline gehn->Systemwiederherstellung deaktivieren.

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten->escan starten(doppelklick mwavscan.com)->zusätzlich alle Laufwerke und Services auswählen und das system damit scannen.

Danach ganz normal booten und wenns immernoch so ist nochmal ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren und gut.

Gruß


« Was sind das für Ordner ?Hijack this »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!