Wenn Stinger den "Wurm" nicht unterst?tz, kannst du ihn auch hunderte male r?ber laufen lassen und er wird ihn nicht finden.
Wenn du sagst du konntest ihn nicht direkt mit AntiVir entfernen, dann schaue mal im Taskmanager ob eine Verd?chtige (unter anderem die von dir selbst oben gepostete Datei) ausgef?hrt wird.
Beende diese und entferne sie (die Datei, vorher aber besser ein Backup machen u. von .exe in etwas anderes umbenennen) manuel entweder per Pfad oder Konsole
er is immer wieder gekommen
So lange in der Regitry als Auto-Start ein Prozess das dieses hervorruft nicht ausgef?hrt ist wird das nicht passieren. Was aber nach der Log auch nicht der fall ist
Lese einfach mal meinen vorrigen Post u. f?hre die Schritte mal durch
Statistik: Verfasst Author: VEGETA — 26.01.2005, 23:29
]]>
]]>
Nach der Log scheint zumindest dieser Teil ok zu sein (Lade dir die neueste V. von Hijack runter ,) )
Scheint nix unverd?chtiges im Auto-Start drin zu sein
Das File "winhlpp32.exe" l?scht du! Das geh?rt zum Wurm dazu
Schau mal ob er deine Host Datei ver?ndert hat
SYSTEM32driversetc
Scanne dein System zus?tzlich mal online
W. den 100% Auslastung (um welche Datei handelt es ich dabei? Taskmanager!)
Das wird aber weniger an einem Wurm liegen (scanne mit Ad-aware, Pest Scaner, etc. mal dein System nach Malware u. reinige ihn mal (Registrycleaner etc.) )
EDIT==>
Habs noch vergessen
Die meisten nutzen Sicherheitsl?cken in deinem System aus um "rein" zu kommen
Update also mal dein Win!
Statistik: Verfasst Author: VEGETA — 26.01.2005, 23:16
]]>
Schau einmal dort nach und zum entfernen gibs da auch nen Tip soweit ichs wei?
Formatieren. Da W?rmer der Agobot familie dritten uneingeschr?nkten zugriff auf dein Sys gestatten. Nur wei? man nicht was bis jetzt schon ver?ndert wurde Aber lies einfach einmal hier nach vielleicht hilft es dir bei deiner Entscheidung
h***://www.trojaner-board.de/archive/index.php/t-9597.htmlKann mich aber auch irren und jemand anderes hier wei? noch ne andere L?sung .
Greetz
LaLaLi
Statistik: Verfasst Author: LaLaLi — 26.01.2005, 23:15
]]>
Dein log-file ist soweit sauber hier ist deine auswertung
Statistik: Verfasst Author: Pozilei — 26.01.2005, 23:11
]]>
worm/agobot.32.AZ der filename is winhlpp32.exe. seitdem is mein cpu auf 100% argh
hier ist ein hijackthisreport und ich wollt fragen ob jemand wei? ob da etwas komisches bei is oder wie ich den weg bekomme .
Logfile of HijackThis v1.98.2
Scan saved at 22:52:14, on 26.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
D:\programme\onlineeye pro\onlineeye.exe
D:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\WINDOWS\System32\taskmgr.exe
C:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie?hl={SUB_RFC1766}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie?hl={SUB_RFC1766}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.com/preferences?hl={SUB_RFC1766}
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Outpost Firewall] "D:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OnlineTime] "d:\programme\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [MBM 5] "D:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VersionCheck] "D:\Programme\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
Statistik: Verfasst Author: greenick — 26.01.2005, 23:01
]]>