BDS/Agent...Plz, Help!

dajagabursch · 11.04.2005, 16:46

Hallo zusammen!
Bin neu hier, hab mir von nem Kumpel sagen lassen, das einem hier gut geholfen wird, wenn's mal brenzlig wird zwecks Viren u.a.

Folgendes Problem:
Hab AntiVir laufen, und seit ca. 2 Wochen langweilt mich die Meldung, dass ein Backdoor-Programm, dass da heisst "BDS/Agent", auf mein System zugreifen will.
So, prima..... ich hab mit Computern ziemlich wenig am Hut, brauch die Kiste aber... und solche Virenmeldungen MACHEN MICH GANZ WAHNSINNIG!!!!

Bitte, wenn mir jemand von euch Cracks helfen kann, wäre ich ihm sehr verbunden! Aber vorsicht: Computer-Lamer am Werk! (Meine Wenigkeit!)
Merci, servus und habe die Ehre,
Da Jagabursch

Rene-gad · 11.04.2005, 16:56

@dajagabursch
Du hast viel geschrieben, aber wenig gesagt: nicht einmal was für Windows hast du, was für Antivirus-Programm, wo wurde der Virus gemeldet und wie genau hieß er.

Mach bitte Folgendes:

1.Falls du WinXP oder ME hast- Systemwiederherstellung abschalten
2.Temporary Internet Files -Ordner leeren:
Start/Einstellungen/Systemsteuerung/Internetoptionen/Dateien löschen/Alle Offlineinhalte löschen...
3. Papierkorb leeren...
4. Infected-Ordner vom Antivirus-Programm und, ggf. Spybot Search & Destroy, Ad-Aware und Co. , leeren.
5. Hijackthis herunterladen, Log hier posten.
6. eScan nach der Anleitung im abgesicherten Modus laufen lassen.
Ergebnisse ggf. mit Vireninfos inkl. Pfäde hier posten.

dajagabursch · 11.04.2005, 18:15

Hey!
Danke für die schnelle Hilfe!
So, ich hab meine Systemwiederherstellung deaktiviert, alles geleert....
Wo finde ich den Infected-Ordner bei Anti-Vir?
woher krieg ich escan?
Ist des sicher?
Sind die daten, die ich dir mit HijackThis schicke safe, oder können dritte damit was anfangen?
thx für die hilfe, da jagabursch!
p.s.: hab winxp

dajagabursch · 11.04.2005, 18:23

Das Logfile....des andere, escan, hab ich net, ....
danke

Logfile of HijackThis v1.99.1
Scan saved at 19:22:11, on 11/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\TOBI'S~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://kommunikation.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telekom.de/bo/reo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Rene-gad · 11.04.2005, 21:30

@dajagabursch

Zitat:

Wo finde ich den Infected-Ordner bei Anti-Vir?

RTFM für AntiVir Personal Edition

Zitat:

woher krieg ich escan?

Ich habe die Anleitung in meinem vorigen Posting verlinkt. Außerdem: www.google.de

Zitat:

Ist des sicher?

Sicher ist nur Neuformatieren

Zitat:

Sind die daten, die ich dir mit HijackThis schicke safe, oder können dritte damit was anfangen?

Herr Gott sei dank, du schickst mir nichts.

Zitat:

p.s.: hab winxp

TNX. Aus dem Log ersichtlich

.

Zitat:

C:\WINDOWS\system32\P2P Networking\P2P Networking.exe

Prozess über Task-Manager (strg-Alt-Entf/Task-Manager] beenden, Datei löschen.

Zitat:

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx

Fixen.
Danach bitte mit eScan alles überprüfen.

dajagabursch · 11.04.2005, 22:05

Dange!
Muss ich jetzt die Systemwiederherstellung aktivieren oder bleibt die deaktiviert?
Und was heisst "fixen".....sorry, kenn ich nicht, muss ein Fachwort sein...
Hat des was mit einem Programm zu tun, oder ist das ein Neologismus für "löschen"? Sorry, bin a bissal schwer von Begriff...
Gute Nacht!

Rene-gad · 12.04.2005, 11:07

@dajagabursch

Zitat:

Muss ich jetzt die Systemwiederherstellung aktivieren oder bleibt die deaktiviert?

Das hat Microsoft dem Benutzter überlassen, also ist keine Pflicht.

Zitat:

Und was heisst "fixen".....sorry, kenn ich nicht, muss ein Fachwort sein...

Anleitung für HJT

dajagabursch · 12.04.2005, 22:16

Super....
jetzt spinnt mein Rechner total!
Sowas hab ich jetzt auch noch nicht gehabt...
Der Rechner braucht für jedes Öffnen eines Programms Stunden, oder öffnet es gar nicht mehr, wie z.B. den Media Player, spielt keine MP3s mehr ab usw.
Bis ich jetzt Firefox geöffnet hab, hat es sicher 3 Minuten gedauert...
Also irgendwas stimmt da nicht, soll jetzt keine Kritik an dem ganzen Escan-Zeug sein, aber vorher hatte ich zwar die Meldung des "Backdoor"-Programms, jedoch lief mein Rechner einwandfrei...
Bitte um Hilfe, muss wichtige Arbeiten schreiben bis Freitag, und so ist das kaum möglich!
Gute Nacht, danke schon mal!

Haui45 · 12.04.2005, 22:20

Was hat eScan denn gefunden?
Schau mal im Taskmanager (Strg+Alt+Entf) wie hoch die CPU-Auslastung ist.

btw: Ich kann mir nicht vorstellen, dass eScan für die Probleme verantwortlich ist.

dajagabursch · 12.04.2005, 22:58

Hey!
Hab die Einstellung im Systemstart geändert, jetzt läuft er wieder normal, aber alle programme, welche ich im systemstart deaktiviert hatte, laufen jetzt beim start an....nervig.
das war vorher echt merkwürdig, so langsam hab ich den rechner auch noch nicht erlebt...!
Soll ich den Rechner formatieren, oder was empfiehst du mir?
mfg

Haui45 · 12.04.2005, 23:03

Poste mal ein neues HjT-Log, dann misten wir deinen Autostart mal ein bisschen aus

Da ich dein eScan-Ergebnis nicht kenne, kann ich dir noch keine Empfehlung geben. Das, was ich im HjT-Log gesehen habe erfordert nicht zwingend ein Neuaufsetzen, obwohl das natürlich immer die sicherste Methode ist, aber auch nur dann, wenn man es richtig macht.

dajagabursch · 12.04.2005, 23:07

Sorry, hab die Hijackthis-Software gelöscht,....

....ich glaube das war ein fehler, jedoch hat mit diesem programm der ganze mist erst angefangen...(bzw. durch meine unfähigkeit...) ich glaube, ich brauch das programm nochmal, moment!

dajagabursch · 12.04.2005, 23:09

Logfile of HijackThis v1.99.1
Scan saved at 00:09:42, on 13/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\TOBI'S~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://kommunikation.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telekom.de/bo/reo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL Business\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe"
O4 - HKLM\..\Run: [BOL Master] G:\setup.exe
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Danke für die Hilfe!

dajagabursch · 12.04.2005, 23:12

Das Escan-Ergebnis hat wenig ausgesagt, also infiziert war demnach keine Datei....falls dir das etwas hilft!?!

Haui45 · 12.04.2005, 23:25

Da ist ja noch viel mehr Spyware

Deinstalliere alle unseriöse Software im abgesicherten Modus (z.B. SearchUpgrader usw.)

Führe einen Scan mit Spybot Search&Destroy, Ad-Aware durch und lasse die gefundenen Probleme beheben.

Zitat:

C:\DOKUME~1\TOBI'S~1\LOKALE~1\Temp\HijackThis.exe

Entpacke HjT bitte in einen eigenen Ordner! -> C:\Programme\HijackThis\HijackThis.exe

Fixe mit HjT (falls noch vorhanden):
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [BOL Master] G:\setup.exe (außer dir bekannt, kann ich mir aber nicht vorstellen)
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - h**p://god.t-online.de/download/ExentCtl.ocx (außer dir bekannt)
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - h**p://install.power-url.de/StarInstall.ocx

Lösche manuell
C:\Programme\Common files\updmgr
c:\program files\altnet
c:\Programme\Gemeinsame Dateien\GMT
C:\WINDOWS\system32\P2P Networking
C:\Programme\Toolbar
C:\PROGRA~1\GEMEIN~1\WinTools
G:\setup.exe
C:\Programme\Gemeinsame Dateien\CMEII
c:\Programme\Common files\SearchUpgrader

Mit eScan scannen und die gefundene Malware löschen (bitte "all local drives" aktivieren)

Surf- und Downloadverhalten überdenken!

Neues Log posten.

BDS/Agent...Plz, Help!

Antiviren-, Firewall- und andere Schutzprogramme: BDS/Agent...Plz, Help!