Moin moin,
hab den Lappy erst vor ca nem Monat bekommen, neu aufgesetzt und hab meine Standartabwehr in Form von AntiVir & ZoneAlarm draufgezogen. Seit einigen Tagen bekomm ich ab und zu den BDS/Agent.AY, hab daraufhin mal hier im Forum gestöbert und hab mit escan gescannt etc.

Hier meine Ausbeute, wenn ihr mir da helfen könntet? U.a. wird oft VNC und Homekeylogger erwähnt, alles unter "System Volume Information", dabei hab ich diese Progs nie auf dem Laptop installiert gehabt, nur auf meinem Haupt-Rechner...

Sun Sep 25 22:08:33 2005 => ***** Scan vollständig. *****
Sun Sep 25 22:08:33 2005 => Gescannte Dateien: 66328
Sun Sep 25 22:08:33 2005 => Gefundene Viren: 174
Sun Sep 25 22:08:33 2005 => Anzahl der desinfizierten Dateien: 0
Sun Sep 25 22:08:33 2005 => Umbenannte Dateien: 0
Sun Sep 25 22:08:33 2005 => Anzahl der gelöschten Dateien: 0
Sun Sep 25 22:08:33 2005 => Anzahl Fehler: 48
Sun Sep 25 22:08:33 2005 => Zeit vergangen: 01:24:03
Sun Sep 25 22:08:33 2005 => Virus Datenbank Datum: 2005/09/25
Sun Sep 25 22:08:33 2005 => Virus Datenbank Zähler: 151132

-----------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 22:40:07, on 25.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Bases_X\mwavscan.com
C:\Bases_X\kavss.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Zuujin\Desktop\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://welcome.icq.com/js/ppfile.html?0
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Hide_Icons.lnk = C:\Dokumente und Einstellungen\Zuujin\Desktop\Hide_Icons.bat
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127672324953
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Welche Infos braucht ihr noch bzw welche Logfiles und wie bekomm ich den ganzen Dreck weg falls es wirklich was schlimmes is?

Danke im vorraus, Zuujin

EDIT: Hier mal das was im Log-Fenster von escan stand:
Log-Fenster

_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.
LG Cidre
S-Mod TB

Hallo,

zunächst müssten wir wissen, um welche Malware es sich eigentlich handelt bzw. wo sie von eScan gefunden wurde. Poste uns deshalb die Virus Log Information (Find.bat) von eScan.

Dein HJT Log-File weist keine Auffälligkeiten auf.

btw:
Weder eScan noch HJT wurden richtig ausgeführt!

So, hier mal die ausgewertete mwav.log, diesmal auch im Abgesicherten Modus etc, also nach Anleitung gescannt.
eScan_neu

Hallo,
gehe mal in den Explorer>>Rechtsklick auf Arbeitsplatz>>Eigenschaften Karteikarte Systemwiederherstellung, Haken rein bei deaktivieren, Computer neu starten, Haken wieder rausnehmen.
Hast du RealVNC absichtlich installiert? Wenn ja, lassen, wenn nein, deinstallieren unter Systemsteuerung>>Software.
MWAV.LOG löschen, wieder mit Escan scannen, neues Log posten.


Grüße Wildone

oki, hab ich gemacht Wildone...
HJT
eScan

Is viel weniger geworden
Hätte ich eigendlich merken müssen das "restore" die Wiederherstellungspunkte sind

Naja, guckt trotzdem mal kurz durch ob ihr noch was seht ja?
Danke vielmals

EDIT: Achja, RealVNC hatte ich doch selbst installiert weil ich auf meinen "Heimserver" ohne Monitor drauf musste und der Haupt-PC nicht ging

Hallo,
wenn diese Einträge:
Mon Sep 26 14:45:31 2005 => File C:\Dokumente und Einstellungen\Zuujin\Eigene Dateien\Setup-Dateien\Keylogger.exe tagged as not-a-virus:Monitor.Win32.HomeKeyLogger.104. No Action Taken.
Mon Sep 26 14:49:37 2005 => File C:\Dokumente und Einstellungen\Zuujin\Eigene Dateien\Setup-Dateien\mirc neuer.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.

gewollt sind, ist soweit alles in Ordnung auf deinem PC.


Grüße Wildone

Joa, sind beides .exe-Dateien die in meiner großen Sammlung verweilen falls ich sie mal brauch bzw weil ich sie oft brauch und nicht immer runterladen will.
Okay, dann danke ich euch, allerdings weiß ich trotzem nicht WIESO der BDS/Agent.AY jetzt nicht mehr kommt... saß vllt ja irgendwo in den Wiederherstellungsdateien oder beim Gator dabei... Naja, wie gesagt, danke euch! Seit ne klass Trppe hier

Grüße Zuujin

Hallo,

Zitat:

Zitat von Zuujin

saß vllt ja irgendwo in den Wiederherstellungsdateien oder beim Gator dabei

Letzteres trifft zu, siehe auch diese Beiträge:
http://www.trojaner-board.de/showpos...22&postcount=2 und http://www.cexx.org/gator.htm