Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Hilfe, wie werde ich BDS/Agent.AY wieder los?

Hilfe, wie werde ich BDS/Agent.AY wieder los?


Plagegeister aller Art und deren Bekämpfung: Hilfe, wie werde ich BDS/Agent.AY wieder los?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 15.12.2004, 19:47   #1
edean
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Ausrufezeichen

Hilfe, wie werde ich BDS/Agent.AY wieder los?


Hier auch bei mir das oft beschriebene Symptom: Antivir entdeckt BDS/Agent.AY und rät mir diesen zu löschen. doch nach einigen Stunden ist er wieder da an anderer Stelle. Selbst auf die Gefahr hin, dass ich mich bodenlos blamiere: Bitte erzählt mir nochmals von vorne, was genau ich zu tun habe, um dieses Biest loszuwerden.

Auf Anregung gelesener Literatur in diesem Board hier folgendes:

Logfile of HijackThis v1.99.0
Scan saved at 19:04:29, on 15.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
O2 - BHO: Httper - {A5483501-070C-41DD-AF44-9BD8864B3015} - C:\PROGRAMME\HTTPER\HTTPER.DLL
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHIEHLPR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: Zipclix - {319A68DB-06D0-46DA-9F93-A810D5A70836} - C:\PROGRAMME\ZIPCLIX\ZIPCLIX.DLL
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\PROGRAMME\DASHBAR\DASHBAR17.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [shhost] C:\PROGRAMME\OUTLASTER\SHHOST.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [Overnet] E:\PROGRAMME\OVERNET\eDonkey2000.exe -t
O4 - HKLM\..\Run: [WebRebates0] "C:\PROGRAMME\WEB_REBATES\WebRebates0.exe"
O4 - HKLM\..\Run: [eDonkey2000] "E:\PROGRAMME\EDONKEY2000\EDONKEY2000.EXE" -t
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SAgent95ExePath] C:\ESM2\SAgent95.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\RunOnce: [^SetupICWDesktop] C:\PROGRA~1\INTERN~1\CONNEC~1\icwconn1.exe /desktop
O4 - Startup: WinZip Quick Pick.lnk = C:\PROGRA~1\WINZIP\wzqkpick.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FRITZ!vox.lnk = C:\Programme\FRITZ!\FriVox32.exe
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll
O4 - Startup: PrecisionTime.lnk = C:\PROGRA~1\PrecisionTime\PrecisionTime.exe
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\misc.exe
O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_30.dll' missing
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://download-ak.systemsoap.com/ss...temsoappro.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/...LER_loader.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1
Geändert von edean (15.12.2004 um 19:57 Uhr)

Alt 15.12.2004, 19:49   #2
chaosman
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


@edean
poste bitte ein HijackThis logfiledownload
anleitung

chaosman
__________________

__________________
Alt 15.12.2004, 20:32   #3
edean
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


@chaosman

hatte bereits das gewünschte Logfile in meinem ersten Posting angehängt.
__________________
Alt 15.12.2004, 20:42   #4
chaosman
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


@edean
hatte bereits das gewünschte Logfile in meinem ersten Posting angehängt.
als ich dein posting las war da nichts......
erst mal spybot downloaden http://www.safer-networking.org/de/a...-managers.html
danach updaten, dann
über systemsteuerung, software , erst mal New.Net und WebHancer
löschen
dann spybot laufen lassen, um deine winsocks reparieren zu lassen

lade dann escan hier
lese den gebrauchsanleitung
hier
mache es genauso wie beschrieben
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman
__________________
Bonus vir semper tiro

Alt 16.12.2004, 10:53   #5
edean
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


@chaosman

Vielen Dank für Deine Tipps. Ich habe die beiden genannten Programme via Systemsteuerung/Software entfernt. Dann habe ich mit Spybot 82 Bedrohungen entfernt. Als ich allerdings die Updates für eScan einspielen wollte, merkte ich, dass mein Internetzugang nicht mehr funktionierte. Auch das Wiederherstellen der von Spybot gelöschten Dateien brachte das Internet nicht mehr ans Laufen.

Meine Rechnerlandschaft sieht folgendermaßen aus:

Ich habe 3 Rechner über ein kombiniertes DSL-Modem mit Router am Internet. Es handelt sich dabei um einen 1,8GHz Aldirechner mit XP Home, über den ich jetzt dieses Posting schreibe, einen 400MHz AMD K6/2 mit XP Pro, der auch noch voll funktionstüchtig mit Internet arbeitet und dessen Netzwerkverbindung zum Aldirechner wie auch zum 3. Rechner, nämlich dem alten 166MHz Pentium 1 Rechner mit Win98 ebenfalls funktioniert. Die Netzwerkverbindungen aller Rechner funktionieren also noch einwandfrei. Nur der win98 Rechner kann nicht mehr ins Internet. Gerade dieser Rechner ist aber sehr wichtig für mich, da er ständig läuft und Anrufbeantworter via Fritz!vox und Fax via Fritz!fax für mich darstellt. Deshalb war auch der Virus BDS/Agent.AY so nervend, weil immer dann, wenn Antivir wieder einen Virus dieser Gattung entdeckt hatte, kein Anruf und kein Fax durchgelassen wurde.

Wie bekomme ich meinen Internetanschluss wieder ans Laufen?


Alt 16.12.2004, 12:02   #6
Shadowdance
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


Hallo edean,

downloade LSP-Fix mit dem anderen Rechner, speichere das Programm auf Diskette oder CD und führe es auf dem Rechner, der derzeit keine Verbindung ins Netz hat, aus. Boote den Rechner ohne Netzverbindung dann neu, damit müsste die Internetverbindung wieder herstellbar sein.

SD

Alt 16.12.2004, 16:49   #7
edean
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


@shadowdance

Vielen Dank für Deinen Tipp, mein Win98 Rechner ist auch wieder im Internet.

@chaosman

Jetzt kann ich erst den eScan durchführen, nachdem ich ihn natürlich aus dem Web abgedated habe.

Gruß edean

Alt 16.12.2004, 23:30   #8
edean
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


@chaosman

Hier sind meine "Tierchen":

=> File C:\PROGRAMME\OUTLASTER\SHHOST.EXE infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: No Action Taken.
=> File C:\PROGRAMME\OUTLASTER\SHHOST.exe infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: No Action Taken.
=> File C:\WINDOWS\Desktop\DivXPro511Adware.exe infected by "not-a-virus:AdWare.Gator.3202" Virus. Action Taken: No Action Taken.
=> File C:\Programme\OutLaster\shhost.exe infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: No Action Taken.
=> File C:\Programme\whInstall\WhAgent.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
=> File C:\Programme\whInstall\whInstaller.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
=> File C:\Programme\whInstall\WhSurvey.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
=> File C:\Programme\whInstall\Webhdll.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
=> File C:\Programme\whInstall\whiehlpr.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
=> File C:\Programme\Web_Rebates\disp1150.exe infected by "not-a-virus:AdWare.WebRebates.c" Virus. Action Taken: No Action Taken.
=> File C:\Programme\DashBar\DashBar17.dll infected by "not-a-virus:AdWare.ToolBar.DashBar.b" Virus. Action Taken: No Action Taken.
=> ***** Scanning complete. *****

Thu Dec 16 21:23:51 2004 => Total Files Scanned: 53090
Thu Dec 16 21:23:51 2004 => Total Virus(es) Found: 13
Thu Dec 16 21:23:51 2004 => Total Disinfected Files: 0

Das waren die Viren von meinem win98 Rechner. Mein Aldi-Rechner hat 421 von der Sorte. Was mache ich damit?

Gruß edean

PS: Hatte so quasi nach Redaktionsschluß noch festgestellt, dass oben nur 11 Viren aufgeführt sind. Habe deshalb kurzerhand noch die "Virus Log Information" des eScan kopiert:

File C:\PROGRAMME\OUTLASTER\SHHOST.EXE infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: No Action Taken.
File C:\PROGRAMME\OUTLASTER\SHHOST.exe infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\Desktop\AGSetup0608.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Desktop\DivXPro511Adware.exe infected by "not-a-virus:AdWare.Gator.3202" Virus. Action Taken: No Action Taken.
File C:\Programme\OutLaster\shhost.exe infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: No Action Taken.
File C:\Programme\whInstall\WhAgent.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File C:\Programme\whInstall\whInstaller.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File C:\Programme\whInstall\WhSurvey.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File C:\Programme\whInstall\Webhdll.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File C:\Programme\whInstall\whiehlpr.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File C:\Programme\Web_Rebates\disp1150.exe infected by "not-a-virus:AdWare.WebRebates.c" Virus. Action Taken: No Action Taken.
File C:\Programme\DashBar\DashBar17.dll infected by "not-a-virus:AdWare.ToolBar.DashBar.b" Virus. Action Taken: No Action Taken.

Thu Dec 16 21:23:51 2004 => Total Virus(es) Found: 13
Thu Dec 16 21:23:51 2004 => Total Disinfected Files: 0
Thu Dec 16 21:23:51 2004 => Total Files Renamed: 0
Thu Dec 16 21:23:51 2004 => Total Deleted Files: 0
Thu Dec 16 21:23:51 2004 => Total Errors: 89
Thu Dec 16 21:23:51 2004 => Time Elapsed: 04:06:26
Thu Dec 16 21:23:51 2004 => Virus Database Date: 2004/12/16
Thu Dec 16 21:23:51 2004 => Virus Database Count: 112603

Thu Dec 16 21:23:51 2004 => Scan Completed.


...war auch etwas einfacher als das Suchen mit "Weitersuchen"!
Geändert von edean (16.12.2004 um 23:56 Uhr)

Alt 17.12.2004, 11:51   #9
MountainKing
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm


Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

O2 - BHO: Httper - {A5483501-070C-41DD-AF44-9BD8864B3015} - C:\PROGRAMME\HTTPER\HTTPER.DLL
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\PROGRAM FILES\WEBHANCER\PROGRAMS\WHIEHLPR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\PROGRAMME\DASHBAR\DASHBAR17.DLL
O4 - HKLM\..\Run: [shhost] C:\PROGRAMME\OUTLASTER\SHHOST.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [WebRebates0] "C:\PROGRAMME\WEB_REBATES\WebRebates0.exe"
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\RunServices: [SAgent95ExePath] C:\ESM2\SAgent95.exe
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll
O4 - Startup: PrecisionTime.lnk = C:\PROGRA~1\PrecisionTime\PrecisionTime.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm



Lösche die aufgeführten Dateien, starte wieder und aktiviere die Systemwiederherstellung. Das basiert jetzt auf deinem alten Logfile, poste danach ein aktuelles. Auch die von E-scan als befallen gemeldeten Datein im abgesicherten Modus löschen.
Vorher:

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Alt 17.12.2004, 12:55   #10
edean
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


@mountainking

Besten Dank für die Aufnahme des Fadens. Der gepostete Befall ist aber nicht auf meinem XP Aldi Rechner, sondern auf meinem alten 166MHz Pentium1 Rechner mit Win98 OS. Was muss ich hier tun, um die Tierchen loszuwerden?

Gruß edean

Alt 17.12.2004, 12:59   #11
MountainKing
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


Dasselbe, abzüglich der Systemwiederherstellung.

Alt 17.12.2004, 13:08   #12
Frustee
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


Tach Zusammen - bin neu hier -
hab glaub ein übles problem - die cpu auslastung immer auf 100% usw.
hab dann aufgrund der hilfreichen menschen auf dieser tollen seite auch ein bissschen hilfe gefunden und ein ganz übles ergebnis von hijackthis
hier mein logfile:

Logfile of HijackThis v1.98.2
Scan saved at 12:43:31, on 17.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ccproxy.exe
c:\windows\system32\sm.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\dllcache\secure32\spool.exe
C:\WINDOWS\System32\QuicktimeMngr.exe
C:\WINDOWS\System32\SndMon32.exe
C:\WINDOWS\System32\windbg.exe
C:\WINDOWS\System32\sysrestore.exe
C:\WINDOWS\System32\MsIntSrv.exe
C:\WINDOWS\System32\winsnd32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\servenxt.exe
C:\WINDOWS\m.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\mp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MARK~1.GES\LOKALE~1\Temp\Rar$EX00.287\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Windows SYSTEM] scvhost.exe
O4 - HKLM\..\Run: [Windows Monitor] winmon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [issEnc32Svr] issEnc32.exe
O4 - HKLM\..\Run: [Windows Debugger] windbg.exe
O4 - HKLM\..\Run: [Windows SSL File] winssv.exe
O4 - HKLM\..\Run: [MSN Updater] msnms.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [MS SyS Restore] sysrestore.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [blah service] servenxt.exe
O4 - HKLM\..\Run: [Microsoft Int Service] MsIntSrv.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] winsnd32.exe
O4 - HKLM\..\Run: [REERGRUNRNT] C:\WINDOWS\m.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [REGRUNSB] C:\WINDOWS\mp.exe
O4 - HKLM\..\RunServices: [Windows SYSTEM] scvhost.exe
O4 - HKLM\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKLM\..\RunServices: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [issEnc32Svr] issEnc32.exe
O4 - HKLM\..\RunServices: [Windows Debugger] windbg.exe
O4 - HKLM\..\RunServices: [Windows SSL File] winssv.exe
O4 - HKLM\..\RunServices: [MSN Updater] msnms.exe
O4 - HKLM\..\RunServices: [MS SyS Restore] sysrestore.exe
O4 - HKLM\..\RunServices: [blah service] servenxt.exe
O4 - HKLM\..\RunServices: [Microsoft Int Service] MsIntSrv.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] winsnd32.exe
O4 - HKLM\..\RunOnce: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunOnce: [Windows Debugger] windbg.exe
O4 - HKLM\..\RunOnce: [MS SyS Restore] sysrestore.exe
O4 - HKLM\..\RunOnce: [Microsoft Int Service] MsIntSrv.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] winsnd32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows Monitor] winmon.exe
O4 - HKCU\..\Run: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [Windows Debugger] windbg.exe
O4 - HKCU\..\Run: [MSN Updater] msnms.exe
O4 - HKCU\..\Run: [MS SyS Restore] sysrestore.exe
O4 - HKCU\..\Run: [Microsoft Int Service] MsIntSrv.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] winsnd32.exe
O4 - HKCU\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKCU\..\RunOnce: [MS SyS Restore] sysrestore.exe
O4 - HKCU\..\RunOnce: [Windows Debugger] windbg.exe
O4 - HKCU\..\RunOnce: [Microsoft Int Service] MsIntSrv.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] winsnd32.exe
O4 - HKCU\..\RunOnce: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103009402674
O17 - HKLM\System\CCS\Services\Tcpip\..\{262D6F20-5714-42ED-BA35-A00E15EFF208}: Domain = uni-duisburg.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{262D6F20-5714-42ED-BA35-A00E15EFF208}: NameServer = 134.91.4.150,134.91.1.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-duisburg.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-duisburg.de

Alt 17.12.2004, 13:38   #13
edean
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


@mountainking

Kannst Du noch einmal ganz langsam für einen Dummen wiederholen, was genau ich tun soll?

Hier mein HijackThis.log:

Logfile of HijackThis v1.99.0
Scan saved at 13:06:56, on 17.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\ESM2\SAGENT95.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\ESM2\EBRR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\SBPCI\CTMIX32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\OUTLASTER\SHHOST.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\SYSTEM SOAP PRO\SOAP.EXE
C:\PROGRAMME\MY-PLAYLIST\MY-PLAYLIST.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\ESM2\STMS.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\FRITZ!\FRIFAX32.EXE
C:\PROGRAMME\FRITZ!\FRIVOX32.EXE
E:\PROGRAMME\EDONKEY2000\EDONKEY2000.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [shhost] C:\PROGRAMME\OUTLASTER\SHHOST.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\PROGRAMME\WEB_REBATES\WebRebates0.exe"
O4 - HKLM\..\Run: [eDonkey2000] "E:\PROGRAMME\EDONKEY2000\EDONKEY2000.EXE" -t
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [SAgent95ExePath] C:\ESM2\SAgent95.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRAMME\SYSTEM SOAP PRO\SOAP.exe min
O4 - HKCU\..\Run: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart
O4 - HKCU\..\RunServices: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\RunServices: [System Soap Pro] C:\PROGRAMME\SYSTEM SOAP PRO\SOAP.exe min
O4 - HKCU\..\RunServices: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart
O4 - Startup: WinZip Quick Pick.lnk = C:\PROGRA~1\WINZIP\wzqkpick.exe
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: FRITZ!vox.lnk = C:\Programme\FRITZ!\FriVox32.exe
O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\misc.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\PROGRAMME\WEB_REBATES\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/...LER_loader.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1

Was soll ich markieren und wann soll ich "fix checked" drücken?

Alt 17.12.2004, 13:39   #14
Haui45
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


@Frustee
es nütz dir gar nichts dein Problem in 3 Thread zu posten
-> http://www.trojaner-board.de/showthr...6533#post96533 (ich habe dir übrigens schon geantwortet)

Alt 17.12.2004, 13:53   #15
Shadowdance
 
Hilfe, wie werde ich BDS/Agent.AY wieder los? - Standard

Hilfe, wie werde ich BDS/Agent.AY wieder los?


Hallo edean,

es hat ein bisschen gedauert, bis ich begriffen habe, was Du nicht verstehst.

Um Viren auf einem Rechner zu entfernen, dessen Betriebssystem WindowsXP ist, musst Du in den abgesicherten Modus booten und die Systemwiederherstellung deaktivieren. Wenn die Viren gelöscht sind, bitte wieder in den normalen Modus booten und die Systemwiederherstellung aktivieren.

Um Viren von einem Rechner mit Windows98 zu entfernen, genügt der abgesicherte Modus.

Entferne die Viren wie von MountainKing beschrieben: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

"öffne die mwav.log -> Bearbeiten -> Suchen -> infected/virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre)

zum "fixen", geh bitte in das Programm Hijack This und fixe die Einträge, wie von MountainKing vorgegeben ... Häk'chen setzen und auf Fix Checked klicken, siehe Anleitung: www.hijackthis.de.

SD

Antwort
Seite 1 von 2 1 2

Themen zu Hilfe, wie werde ich BDS/Agent.AY wieder los?
1.exe, antivir, bho, button, dateien, desktop, explorer, folge, hijack, hijackthis, hilfe, internet, internet explorer, links, literatur, microsoft, programme, registry, rundll, rundll32.exe, services, software, start, system, tools, upd.exe, windows


« Hilfe!!!! Iexplorer vergiss die Startseite | BIN NEU mit probleme »


Ähnliche Themen: Hilfe, wie werde ich BDS/Agent.AY wieder los?


  1. sm.de - Wie werde ich das wieder los?
    Lob, Kritik und Wünsche - 06.05.2015 (1)
  2. sm.de - wie werde ich das wieder los?
    Plagegeister aller Art und deren Bekämpfung - 05.05.2015 (36)
  3. wie werde ich das Ding wieder los 2
    Log-Analyse und Auswertung - 22.09.2014 (41)
  4. SoftwareUpdater.UI.exe --- wie werde ich es wieder los?
    Plagegeister aller Art und deren Bekämpfung - 29.08.2013 (7)
  5. Wie werde ich Iminent wieder los?
    Plagegeister aller Art und deren Bekämpfung - 24.08.2013 (27)
  6. Windows Verschlüsselungs Trojaner - bitte Hilfe wie ich den wieder los werde.
    Plagegeister aller Art und deren Bekämpfung - 04.06.2012 (10)
  7. BOO/Whistler.A, wie werde ich ihn wieder los?
    Log-Analyse und Auswertung - 20.07.2011 (2)
  8. Wie werde ich TR/Agent.hlcz wieder los?
    Plagegeister aller Art und deren Bekämpfung - 10.03.2011 (9)
  9. Hilfe, wie werde ich den wieder los: TR/EyeStye.H.37
    Plagegeister aller Art und deren Bekämpfung - 24.02.2011 (23)
  10. Wie werde ich den Trojaner TR/Agent.btxi wieder los ?
    Plagegeister aller Art und deren Bekämpfung - 01.06.2009 (0)
  11. Wie werde ich den wieder los ?
    Log-Analyse und Auswertung - 03.09.2008 (27)
  12. Wie werde ich den da ->BDS/Agent.bxt, wieder los??
    Plagegeister aller Art und deren Bekämpfung - 05.10.2007 (4)
  13. Trojaner? Wie werde ich das wieder los?
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (6)
  14. Hilfe, wie werde ich Errorsafe wieder los?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2006 (3)
  15. Wie werde ich den WinFixer wieder los?
    Log-Analyse und Auswertung - 19.10.2005 (10)
  16. Hilfe..wie werde ich diesen Trojaner wieder loß.
    Plagegeister aller Art und deren Bekämpfung - 29.09.2004 (2)
  17. Hilfe, wie werde ich meine Trojaner wieder los ?
    Plagegeister aller Art und deren Bekämpfung - 29.12.2003 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hilfe, wie werde ich BDS/Agent.AY wieder los? - Hier auch bei mir das oft beschriebene Symptom: Antivir entdeckt BDS/Agent.AY und rät mir diesen zu löschen. doch nach einigen Stunden ist er wieder da an anderer Stelle. Selbst auf - Hilfe, wie werde ich BDS/Agent.AY wieder los?...
Archiv
Du betrachtest: Hilfe, wie werde ich BDS/Agent.AY wieder los? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131