Backdoor.Agent.B

[SFU420]

Hallo!
Hab mir den oben genannten Trojaner eingefangen. Norton Antivirus bringt mir ne Meldung, dass die Datei nicht repariert werden konnte. Der infizierte Datei befindet sich unter C:\Windows\System32\ctlb.dll. Ich hab im Inet zwar ne Anleitung von Symantec zur Entfernung des Viruses gefunden, die aber irgendwie nicht geht. Der sagt mir, das ich in der Registry irgendeinen Eintrag manipulieren soll, den es leider aber nicht gibt. Bin am Verzweifeln, könnt ihr mir helfen?

[Nikita]

[SFU420]

Also der Name des Viruses seht im Titel. Für dich aber nochmal : Backdoor.Agent.B.
Der Link: http://securityresponse.symantec.com/av ... ent.b.html

[SFU420]

rausgenommen

[Nikita]

Start<Ausfuehren<regedit...loesche auf der rechten Seite, wenn es da ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"RUNDLL32 %System%\(DLL filename).dll,StreamingDeviceSetup"

# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
# Benenne um :
"Windows"
zu
"Windows0"


Warte 5 Sekunden

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Benenne um :

"Windows0"
ZU
"Windows"

# HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

# rechts doppelclick :

"AppInit_DLLs"

und loesche in der Value Data box:

%System%\<DLL filename>.dll

schliesse die Registry


Lade mwav.exe und scanne <alle Datein<
http://www.mwti.net/antivirus/free_utilities.asp


Gruss
Nikita

[SFU420]

Also den Eintrag in der Registry gibts bei mir nicht. Würde ja gern nen Screenshot reinsetzen. Kann ich in diesem Forum ein Bild hochladen oder muss das auf einem Server liegen?[/img]

[Nikita]

es reicht, wenn du das Log vom HijackThis scannst, save und dann hier reinkopierst.


# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
# Benenne um :
"Windows"
zu
"Windows0"


Warte 5 Sekunden

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Benenne um :

"Windows0"
ZU
"Windows"

# HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

# rechts doppelclick :

"AppInit_DLLs"

und loesche in der Value Data box:

%System%\<DLL filename>.dll...............ctlb.dll???

schliesse die Registry

#loesche
C:\Windows\System32\ctlb.dll.

Nikita

[SFU420]

Hab ich doch schon. Wollt doch nen Screenshot von der Registry reintun.

[Nikita]

NIKITA

[SFU420]

Dann ist das, was ich oben reingetan hab falsch? Is doch nur ein bisschen länger Naja, dann probier ich es nochmal

[SFU420]

Logfile of HijackThis v1.98.0
Scan saved at 19:16:30, on 30.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\DSentry.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
G:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\explorer.exe
G:\Programme\Winamp\Winamp.exe
C:\WINDOWS\regedit.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/d ... efault.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/d ... efault.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {369D08EE-568D-4A93-AC45-769C4AC7AF94} - C:\WINDOWS\System32\laei.dll
O2 - BHO: CakeChin - {4C0F9B14-3CB8-84CA-1747-6E858FB6E12E} - C:\PROGRA~1\ACEDRV~1\CityBoob.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DentBeepBold - {CEE38DCD-B336-9894-8500-3651B697354C} - C:\PROGRA~1\ACEDRV~1\CityBoob.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Griddrive] C:\PROGRA~1\Shimwait\camp about.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] G:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCleaner] "C:\Programme\SuperCleaner\SuperCleaner.exe" /h/b
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pca: C:\Programme\Internet Explorer\Plugins\nppcaplg.dll
O12 - Plugin for .pcg: C:\Programme\Internet Explorer\Plugins\nppcgplg.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{767952B9-02AA-4787-8318-CA8BF140715F}: NameServer = 205.188.146.146
O18 - Filter: text/html - {2CBDFFCF-4C6F-4D4E-949C-07273227FB02} - C:\WINDOWS\System32\laei.dll
O18 - Filter: text/plain - {2CBDFFCF-4C6F-4D4E-949C-07273227FB02} - C:\WINDOWS\System32\laei.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\ctlb.dll

So, dass muss aber jetzt stimmen

[Nikita]

scanne mit dem HijackThis, dann hake an, was ich poste und dann <fix<

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gerhard\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {369D08EE-568D-4A93-AC45-769C4AC7AF94} - C:\WINDOWS\System32\laei.dll
O2 - BHO: CakeChin - {4C0F9B14-3CB8-84CA-1747-6E858FB6E12E} - C:\PROGRA~1\ACEDRV~1\CityBoob.dll (file missing)
O3 - Toolbar: DentBeepBold - {CEE38DCD-B336-9894-8500-3651B697354C} - C:\PROGRA~1\ACEDRV~1\CityBoob.dll (file missing)

O4 - HKLM\..\Run: [Griddrive] C:\PROGRA~1\Shimwait\camp about.exe
?????????????????''''
O4 - HKCU\..\Run: [od-teen4] c:\programme\Webdialer\od-teen4.exe -m

O18 - Filter: text/html - {2CBDFFCF-4C6F-4D4E-949C-07273227FB02} - C:\WINDOWS\System32\laei.dll
O18 - Filter: text/plain - {2CBDFFCF-4C6F-4D4E-949C-07273227FB02} - C:\WINDOWS\System32\laei.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\ctlb.dll


NEUSTARTEN


deaktiviere kurz deinen Virenscanner
und lade
http://www.free-av.de/

neustarten und
#Geh in den abgesicherten Modus...das ist
wichtig !
http://www.bsi.de/av/texte/winsave.htm


Konfiguriere den Antivirus AVGCtrl
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN,, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

und mache einen Vollscann mit dem Antivirus.


nun gehst du in die Registry und machst, was ich oben gepostet habe.
# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
# Benenne um :
"Windows"
zu
"Windows0"
<<<<<Warte 5 Sekunden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Benenne um :
"Windows0"
ZU
"Windows"
# HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

# rechts doppelclick :
"AppInit_DLLs"
und loesche in der Value Data box:
%System%\<DLL filename>.dll...............ctlb.dll???

schliesse die Registry

#loesche

C:\WINDOWS\System32\laei.dll ...eventuell umbenennen
C:\Windows\System32\ctlb.dll.
21f51744.exe
2d8734c2.exe
39b59ea7.exe
b43a782e.dll
backdoor.agent.l.exe
backdoor.agent.m.exe
f5ac2742.exe
flux.exe
readme.txt
unpacked.exe

normal neustarten

Loesche die TemporaryInternetFiles unter Internetoptionen.

Lade mwav.exe und scanne noch einmal <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp

wenn alles fertig ist, poste das Log noch einmal.

MfG
Nikita

[SFU420]

Keine Ahnung was dieses od-tenn4 sein soll. Der PC gehört nicht mir. Ein Bekannter (Nachbar) hat mich gebetten, dass ich mir seinen Computer mal anschauen soll.

Werd deinen Tipp gleich mal ausprobieren.

[SFU420]

So. Hab versucht alles zu machen, was du gesagt hast. Das mit dem AppInit_DLLs rechts doppelklick hat nicht geklappt. Bin aber auch durch keinen anderen Weg in die Value Data box gekommen. Außerdem hab ich die ganzen exe-Files, die ich löschen sollte, nicht gefunden. Die waren nirgends. Sonst hat alles geklappt. Hier is noch das LogFile:

Logfile of HijackThis v1.98.0
Scan saved at 21:35:42, on 30.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\DSentry.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
G:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
G:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AOL 9.0\aoltray.exe
G:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/d ... efault.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/d ... efault.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] G:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCleaner] "C:\Programme\SuperCleaner\SuperCleaner.exe" /h/b
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pca: C:\Programme\Internet Explorer\Plugins\nppcaplg.dll
O12 - Plugin for .pcg: C:\Programme\Internet Explorer\Plugins\nppcgplg.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{767952B9-02AA-4787-8318-CA8BF140715F}: NameServer = 205.188.146.146

[SFU420]

Hab grad nochmal neugestartet. Virus ist immer noch da (Norton Popup). Vielleicht liegts daran, dass ich nicht alles machen konnte, was du gesagt hast. Wo sind den die exe-Files?(backdoor.agent.l.exe, zum Beispiel)