Seite 1 von 1

UNREAD_POSTVerfasst: 26.01.2005, 23:01
Author: greenick
hi leute
ich hab da schon seit n paar tagen son wurm problem er nennt sich

worm/agobot.32.AZ der filename is winhlpp32.exe. seitdem is mein cpu auf 100% argh
hier ist ein hijackthisreport und ich wollt fragen ob jemand wei? ob da etwas komisches bei is oder wie ich den weg bekomme .

Logfile of HijackThis v1.98.2
Scan saved at 22:52:14, on 26.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
D:\programme\onlineeye pro\onlineeye.exe
D:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\WINDOWS\System32\taskmgr.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie?hl={SUB_RFC1766}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie?hl={SUB_RFC1766}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.com/preferences?hl={SUB_RFC1766}
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Outpost Firewall] "D:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OnlineTime] "d:\programme\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [MBM 5] "D:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VersionCheck] "D:\Programme\Onlineeye Pro\vcheck.exe"
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab

UNREAD_POSTVerfasst: 26.01.2005, 23:11
Author: Pozilei
Stinger runter laden und ausf?hren

Dein log-file ist soweit sauber hier ist deine auswertung

UNREAD_POSTVerfasst: 26.01.2005, 23:15
Author: LaLaLi
h***://www.sophos.de/virusinfo/analyses/w32agobotmv.html

Schau einmal dort nach und zum entfernen gibs da auch nen Tip soweit ichs wei? :D Formatieren. Da W?rmer der Agobot familie dritten uneingeschr?nkten zugriff auf dein Sys gestatten. Nur wei? man nicht was bis jetzt schon ver?ndert wurde ;)

Aber lies einfach einmal hier nach vielleicht hilft es dir bei deiner Entscheidung ;) h***://www.trojaner-board.de/archive/index.php/t-9597.html

Kann mich aber auch irren und jemand anderes hier wei? noch ne andere L?sung .

Greetz
LaLaLi

UNREAD_POSTVerfasst: 26.01.2005, 23:16
Author: VEGETA
W?rmer W?mer W?rmer
diese l?sstigen Vieher 8-|

Nach der Log scheint zumindest dieser Teil ok zu sein (Lade dir die neueste V. von Hijack runter ,) )
Scheint nix unverd?chtiges im Auto-Start drin zu sein

Das File "winhlpp32.exe" l?scht du! Das geh?rt zum Wurm dazu

Schau mal ob er deine Host Datei ver?ndert hat
SYSTEM32driversetc

Scanne dein System zus?tzlich mal online

W. den 100% Auslastung (um welche Datei handelt es ich dabei? Taskmanager!)
Das wird aber weniger an einem Wurm liegen (scanne mit Ad-aware, Pest Scaner, etc. mal dein System nach Malware u. reinige ihn mal (Registrycleaner etc.) ) ;)

EDIT==>
Habs noch vergessen
Die meisten nutzen Sicherheitsl?cken in deinem System aus um "rein" zu kommen
Update also mal dein Win!

UNREAD_POSTVerfasst: 26.01.2005, 23:18
Author: greenick
mit stinger hab ich es auch schon mal prob da hat er nix gezeigt . avg hat im hintergrund ?fter reagiert trotzdem konnte ich ihn weder heilen oder l?schen , er is immer wieder gekommen . aba ich probiers nochma mit stinger ohne das avg im hintergrund l?uft

UNREAD_POSTVerfasst: 26.01.2005, 23:29
Author: VEGETA
@greenick

Wenn Stinger den "Wurm" nicht unterst?tz, kannst du ihn auch hunderte male r?ber laufen lassen und er wird ihn nicht finden.

Wenn du sagst du konntest ihn nicht direkt mit AntiVir entfernen, dann schaue mal im Taskmanager ob eine Verd?chtige (unter anderem die von dir selbst oben gepostete Datei) ausgef?hrt wird.
Beende diese und entferne sie (die Datei, vorher aber besser ein Backup machen u. von .exe in etwas anderes umbenennen) manuel entweder per Pfad oder Konsole ;)

er is immer wieder gekommen

So lange in der Regitry als Auto-Start ein Prozess das dieses hervorruft nicht ausgef?hrt ist wird das nicht passieren. Was aber nach der Log auch nicht der fall ist

Lese einfach mal meinen vorrigen Post u. f?hre die Schritte mal durch ;)