Trojan.Win32.Agent.bck

Oje
brauch dringend Hilfe...
Seit kurzem habe ich auf einmal ein heftiges Virenproblem auf meinem PC, ich weiß garnicht woher die kommen.
Anfangs war es ein Trojaner namens Virtumod.S (in system32 irgendeine .dll Datei..)
Ich habe mir extra Kaspersky geholt, allerdings hören die Viren nicht auf. Kaum ist einer gefunden und gelöscht, ist der nächste nach dem Neustart da. (Zum Desinfizieren muss man Neustarten..)
Immer in System32 irgendeine .EXE datei,
und der Name des trojanischen Programmes ist immer Trojan.Win32.Agent.bck
ich weiß echt nicht weiter..wie kann ich den vollständig löschen?
Systemwiderherstellung hab ich leider nicht vor dem 4. (und da hatte ich das Virenproblem bereits..)
Hilft da nur noch PC platt machen?

Bitte um Hilfe..

 

Lass doch die Experten mal in deine HiJackThis-Auswertung reinsehen. Hier findest du die Anleitung dazu:

http://www.pcwelt.de/forum/sicherhe...otkits/134046-posten-von-hijackthis-logs.html

 

Hallo,

das wird ein Backdoor-Trojaner sein, mit dem musst du richtig Hasch mich spielen. Das kann der Kaspersky nicht wirklich gut, eine andere Virenklingel wird da auch nichts bringen wenn die Trojaner eng beisammen beim Picknick sitzen und fröhlich um die Wette piepsen.

Ohne HiJackThis-Log ist eine Ferndiagnose und somit Hilfestellung nicht möglich !.

 

Hier,bitteschön, ich hoffe, das hilft weiter!

----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich als Text-Datei an den Beitrag anhängen, wie auf folgender Seite (bebildert) beschrieben: http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

Es kann auch weiterhin der Link zum ausgwerteten Log gepostet werden.

Gruß
Nevok
----------------------------------------------------------------

 

Hallo,

diese Einträge mit HiJackThis im abgesicherten Modus bei deaktivierter Systemwiederherstellung fixen. Danach Neustart (abgesichert) und die infizierten Dateien löschen.

Info (lesen):
Bundesamt für Sicherheit in der Informationstechnologie (BSI)
Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

http://www.bsi.de/av/texte/wiederher_xp.htm

Fixen:

C:\WINDOWS\system32\cujorbag.exe

O2 - BHO: (no name) - {4AA7B12D-AB2C-4D16-BCFB-704945A98FDD} - C:\WINDOWS\system32\yayvvur.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\sfvdvmwh.dll

O2 - BHO: (no name) - {E87CABF0-C42A-47B6-8BD3-CAE3B19C671E} - C:\WINDOWS\system32\geebc.dll

O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\xdnlvmsm.dll",forkonce

O16 - DPF: {377FF862-62E0-4F33-B6E5-F58E0BC0F209} (NlsComm Component Class) - ht**tp://login.hanbiton.com/cab/NLSnSSO.cab

O20 - Winlogon Notify: yayvvur - C:\WINDOWS\

 

mach das, das dir wolfgang empfiehlt, und weiters....

und probiers mit >>dem<<

Was ist zu tun, wenn ein Schädling auf deinem System gefunden wurde...

1. schalte deine Systemwiederherstellung aus


2. starte im abgesicherten Modus (durch mehrmaliges drücken der F8 Taste während des Startes)


3.a. starte dein Antivirenprogramm
Bereinigen nach besten Wissen und Gewissen

3.b starte Spybot Search&Destroy
Bereinigen nach besten Wissen und Gewissen

3.c. starte ad-aware2007
Bereinigen nach besten Wissen und Gewissen

NOTIERE JEDEN FUND (WAS/ WO genau!) (von Spybot, Ad-Aware und Antivirenprogramm)


4. Systemneustart
5. Systemwiederherstellung wieder aktivieren

6. HIJACKTHIS log


Jedoch gleich vorweg:

Ergo NEUAUFSETZEN

Und jetzt noch was zum lesen und abarbeiten:
1 >>Gandalf<<
2 >>PFW<<

 

hey,
also ich hab das von wolfgang versucht..
allerdings ist es mir unmöglich im abgesicherten Modus zu arbeiten. Es kommt immer eine Meldung von win, ob ich nun im abgesicherten Modus weiter arbeiten will oder ob ich eine Systemwiderherstellung will.
Ich klicke auf ja, abgesicherter Modus, kurze Zeit später wieder dieselbe Meldung,
Unter den Eigenschaften hab ich die Systemwiderherstellung aber wie beschrieben ausgestellt...

 

dann Folge meinen Punkten in #6... aber lass die Systemwiederherstellung ausgeschaltet... fixe anschliessend die Punkte von Wolfgang...

Hast du alles wie in meinen Links beschrieben gemacht?

http://www.emsisoft.de/de/software/download/ das auch schon probiert? mit der 30-Tage Testversion könnte es klappen

 

wie gesagt, mit dem abgesicherten modus klappts irgendwie nicht..es kommt immer diese meldung, und danach wieder desktop, selbst wenn ich ein viren prog laufen lass, das wird unterbrochen.
aber ich kann das andere mal versuchen, welches programm davon soll ich laden? (auch wenn ich nicht weiß,ob das nun was anderes als mein kaspersky bewirken kann)

 

Dann fixe die Einträge im "Normal-Modus", nach fixen Neustart und neues HiJackThis erstellen. Die Systemwiederherstellung muss deaktiviert sein, sonst keine Aussicht auf Erfolg. Die Log-Datei als Textdatei-Anhang posten, es ist nicht erlaubt Log's direkt zu posten (Verschmutzung des Internet).

 

Es gibt kein Programm das diese Viren entfernen kann, das geht wenn überhaupt nur in "Handarbeit". Im nächsten Schritt kommen wir dann zur "datfind.bat" und einem Rootkit Revealer um das System weiter zu untersuchen.

 

oh achso, wusste ich nicht,
hier also die logfile..
aber da sind immer noch alte Übeltäter dabei, Kaspersky schreit auch schon.

 

Die Adware Virtumonde ist noch immer aktiv::

O2 - BHO: (no name) - {3A6418FF-7839-4634-986F-E5B6776D6A1C} - C:\WINDOWS\system32\geebc.dll

Was genau meldet Kaspersky, bitte präzise Angaben machen.

 

also, hab nun öfters versucht dieses \geebc.dll zu fixen, geht aber nicht weg,
hab einen neuen log hinzugefügt aber der wird vermutlich fast genau so wie der vorherige sein.
Kaspersky sagt einmal dass ein Trojaner Trojan.Win32.Agent.bck entdeckt wurde und nun seit neuestem:
07.09.2007 21:45:14 Das Öffnen des schädlichen HTTP-Objekts <http://82.98.235.78/netob/valera.exe?uid=A87571545AF211DC82C4F67607FDFFFF&guid=C66E1D64F832416EADC63E5B18838A0C>: Zugriff blockiert.

Und so ziemlich jedesmal wenn ich eine Site öffne, poppt irgendwelche kommische Werbung auf.

 

Du musst den Rechner vom Internet trennen, der lädt ja immer wieder neue Schädlinge nach..

O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\imhqchge.dll",forkonce

O2 - BHO: (no name) - {ABA3342E-34F0-4BBF-A162-C19609C7362C} - C:\WINDOWS\system32\geebc.dll

O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\imhqchge.dll",forkonce

Versuche die Einträge zu fixen und mit den MISC-Tools von HiJackThis die Dateien zur Bootzeit zu löschen. Ohne abgesicherten Modus sieht das schlecht aus.

 

also, hab ich alles gemacht..
aber immernoch kein besserung,
geebc.dll ist noch da.
da hilft wohl nur Formatierung? :/

 

nun ja, das einzigste wäre ja noch, das im abgesicherten modus zu löschen. Kann mir keiner weiterhelfen, wieso der mir da immer diese Meldung bringt (trotz ausgesteller Systemwiderherstellung)??
Kaspersky zeigt nun nur noch
gefunden: trojanisches Programm Trojan.Win32.Agent.bck URL: http://82.98.235.78/netob/valera.ex...7FDFFFF&guid=C66E1D64F832416EADC63E5B18838A0C

beim Suchlauf an, löscht es aber nicht. Wie könnte ich so eine URL löschen?
geebc.dll ist immer noch da, auch die Werbung.
Morgen dann wohl als letzte Lösung die Formatierung..

 

NEUAUFSETZEN