Hallo zusammen !

Ich hab zwar lange nach Vergleichsfällen gesucht, aber wie mir scheint
wirk sich dieses Backdoorprogramm immer anders auf einem System aus...

AntiVir brachte mir die Meldung über BDS/Agentay bereits letztes Jahr.
Nachdem ich verschiedene Programme laufenlassen hab (A2, Trojancheck)
war Ruhe.....bis Vorgestern !!!

Ich hab XP SP2

Bitte helft mir dieses etwas endlich loszuwerden !!!!!

Danke

Ben

Wo hat Antivir den Ordner gefunden(Pfadangabe) ?
Poste auch mal einen Log von Hijackthis

Hallo Cronos,

erstmal Danke für Deine Antwort.

Pfadangabe ist C:\Programme\Gemeinsame Dateien

Mein log:


Logfile of HijackThis v1.99.1
Scan saved at 20:13:45, on 03.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\DATA BECKER\XP optimal einstellen 3.0\xpoerunt.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\DATA BECKER\XP optimal einstellen 3.0\adblock.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\THORST~1\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [DB_AFD] C:\Programme\DATA BECKER\XP optimal einstellen 3.0\DBAFD.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Router-Monitor] C:\Programme\BarrMon\BarrMon.exe "NoSound"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [XPoe-Runtime] C:\Programme\DATA BECKER\XP optimal einstellen 3.0\xpoerunt.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Konvertieren für CLIÉ - C:\Programme\Sony\Image Converter\menu.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.arcor.de
O15 - Trusted Zone: http://www.fujitsu-siemens.de
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2458fda4...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5872B0E3-93A3-46B4-83EF-39D7F5735442}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe



Ich hoffe das war so richtig...

Gruß
Ben

So fixxe zunächst folgende Einträge:

C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Sollte einer oder alle Einträge der O15-Gruppe ohne das du es wolltest dort eingetragen sein auch fixxen.
Falls unbekannt oder ungewollt fixxe noch folgendes:
O8 - Extra context menu item: Konvertieren für CLIÉ - C:\Programme\Sony\Image Converter\menu.htm

Wechsle nun in den abgesicherten Modus bei abgeschalteter Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Und lösche den Inhalt folgender Ordner und dann den Ordner selbst:
C:\Programme\Gemeinsame Dateien\CMEII
C:\Programme\Gemeinsame Dateien\GMT

Lasse im abgesicherten Modus eine upgedate Version von adaware(www.lavasoftusa.com/software/adaware) und Spybot(http://www.safer-networking.org/de/) durchlaufen.

Boote in den normalen Modus, aktiviere die Systemwiederherstellung und erstelle einen neuen Log von HJT

Hallo !!

hab jetzt mal die genannten Schritte erledigt, bis auf auf das durchlaufen von Spybot und Adaware. Die hatte ich vergessen vor dem abgesicherten Modus downzuloaden...

Jedenfalls schaut mein Logfile nun so aus:



Logfile of HijackThis v1.99.1
Scan saved at 21:24:30, on 08.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DATA BECKER\XP optimal einstellen 3.0\xpoerunt.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\DATA BECKER\XP optimal einstellen 3.0\adblock.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\THORST~1\LOKALE~1\Temp\Rar$EX00.969\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [DB_AFD] C:\Programme\DATA BECKER\XP optimal einstellen 3.0\DBAFD.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Router-Monitor] C:\Programme\BarrMon\BarrMon.exe "NoSound"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [XPoe-Runtime] C:\Programme\DATA BECKER\XP optimal einstellen 3.0\xpoerunt.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Konvertieren für CLIÉ - C:\Programme\Sony\Image Converter\menu.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.arcor.de
O15 - Trusted Zone: http://www.fujitsu-siemens.de
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2458fda4...dxIE601_de.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5872B0E3-93A3-46B4-83EF-39D7F5735442}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe




Und was kann mann aus diesen Buchstaben/Zahlenkombinationen schliessen???
Alles wieder O.K. ???


Gruß
Ben

So,erstmal Sorry das ich dir auf deine letzte Frage nicht geantwortet hab.Ist irgendwie untergegangen.

Scheinst nach dem HJT Log erstmal von Gator und Konsorten befreit zu sein.
Da du aber in deinem ersten Post was von Backdoor schreibst, könntest du auch zur Sicherheit Escan drüberlaufen lassen:
http://www.trojaner-info.de//hijacker/escan

Bitte die Installationsanleitung auf den Punkt genau befolgen.
Bitte die Ergebnisse hier posten:

Zitat:

Zitat von cidre

Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Wie man das Zahlengemüll Lesen kann?

http://www.trojaner-board.de/51130-a...ijackthis.html

Und viel lesen.Das bildet nämlich ungemein

Hallo Cronos,

AntiVir meldet mittlerweile nicht mehr. Aber das hat ja wie ich gelesen hab nichts zu bedeuten.
der Ordner der jedenfalls durch AntiVir gefunden wurde mit dem BDS ist immernoch da.
In Gemeinsame Dateien und heißt: dhacntpl
Hat 2 Unterordner mit ebenfalls so einem Nonsense.

Hab Spybot und Adaware laufen lassen. Die hatten auch noch ca. 36 "ETWAS" zu bemängeln.

Und jetzt also E-Scan ?


Gruß

Zitat:

Zitat von Ben79

Und jetzt also E-Scan ?

Als ich dein obiges Post gelesen hab fiel mir folgendes ein:

JA

Lass das mal laufen.Von den Signaturen her gehört das zu den besten.Richte dich bitte genau nach der Anleitung im o.g. Link

Gut werd ich machen. Was ist das für ein seltsam benannter Ordner ?
Der kam auch nach dem löschen immer wieder...

Ist das der "AgentAY2 ???

Und wer würde so ein Programm für was nutzen wollen ?

Also grunsätzlich hab ich schon rausgelesen für was solche Programme da sind, aber ich kann mir nicht vorstellen das bei 2 Millionen infizierten PC mit dem gleichen Trojaner (hier im Forum gibts ja wirklich viele mit dem Problem)
ausspioniert werden ??!!!!!

Oder doch

Zitat:

Zitat von Ben79

Also grunsätzlich hab ich schon rausgelesen für was solche Programme da sind, aber ich kann mir nicht vorstellen das bei 2 Millionen infizierten PC mit dem gleichen Trojaner (hier im Forum gibts ja wirklich viele mit dem Problem)
ausspioniert werden ??!!!!!

Oder doch

Ich klau jetzt mal bei Wikipedia:

Zitat:

Zombies im Internet

Als Zombie bezeichnet man auch einen am Internet angeschlossenen PC, meist handelt es sich um ein Microsoft Windows-System, der durch Würmer, Viren, Trojaner, direkte Angriffe oder ähnliches unter die Kontrolle eines Crackers gebracht worden ist. Häufig sind die Anwender sich nicht darüber bewusst, dass ihr Computer als Zombie missbraucht wird, oder es fehlt am nötigen Wissen, um die Nutzung als solchen zu unterbinden. Zombiesysteme werden unter anderem dazu genutzt, Spam-Mails zu verbreiten, Angriffe im Internet zu koordinieren, weitere Zombies zu erschaffen oder als Tarnung für Attacken zu fungieren. Es gibt im Internet große Ansammlungen solcher Computer, man spricht von "Zombie-Farmen" oder "Botnetzen". Es wird berichtet, dass man solche Farmen bei entsprechenden Crackern "mieten" kann, um z. B. Spam-Mails in großer Zahl zu verbreiten. Schätzungen über die Zahlen aktiver Zombiesysteme gehen bis in die zweistellige Millionenhöhe.

Quelle: http://de.wikipedia.org/wiki/Zombie


Was das alles ist?
Wenns dich interessiert fang mal an dich bei www.trojaner-info.de einzulesen.Interessante Links, die dann auch weiter führen.

Hallo !!
Versuche seit Tagen auf die hier gelinkte Seite von E-Scan zu kommen.
Resultat: Seite nicht gefunden...

Nachdem aber andere hier im Forum problemlos downloaden liegt es wohl doch an mir !!

Hat jemand einen Tip??