|
Plagegeister aller Art und deren Bekämpfung: BDS/Agent.AYWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.01.2006, 12:19 | #1 |
| BDS/Agent.AY haalo, frage: wenn "antivir" einen backdoor(?) erkannt und in quarantäne verschonen hat, ist dann schaden entstanden? und diese datei löschen? gab ja schon einen tread hier http://www.trojaner-board.de/showthr...bds%2Fagent.ay aber da wurde er ja ausgeführt, also hat schaden angerichtet und sollte beseitigt werden. |
30.01.2006, 12:23 | #2 |
> MalwareDB | BDS/Agent.AY Hallo,
__________________wo hat AntiVir ihn den erkannt, dass Du meinst, er sei nicht aktiv gewesen? Gruß Schrulli
__________________ |
30.01.2006, 13:07 | #3 |
| BDS/Agent.AY haalö,
__________________es war nicht auf meinem rechner - "irgentwann" hat wohl jemand mit dem windows-media-player radio hören wollen, und dabei ist es dann passiert - mehrere IE-fenster von alleine geöffnet - user hat gleich internetverb. getrennt. -> winME, antivir, ZA (...ich weiss ), dsl1000, router ... <- beim nächsten start "kam" scandisk, und antivir sprang an. >"BDS/Agent.AY" backdoor< usw ich bekam dann den anruf, und dachte natürlich erstmal daran -backdoor - neuaufsetzen- leider wollte user nicht neuaufsetzen ich nahm mir dessen hjt-log vor und studierte nachdem ich alles über google und hier onboard abgeklappert hatte, was so in der log zu finden war, waren einige verdächtige exe (4-5 stück) die wir dann bei jotti scannen ließen - wurde aber nichts gefunden. (außer 2 hinweise, dass "was gepackt war" ... kanns nicht wiedergeben ) die datei im ordner infected (antivir) haben "wir" ebenfalls bei jotti prüfen lassen - volltreffer - aber heisst ja bei jedem softwarehersteller anders. datei(en) (eine kleine "ini" war auch dabei) mit clearprog 8-fach überschrieben, systemwiederhestellung de- (neustart) und wieder aktiviert, alles upgedatet. ist da "was" zu befürchten? |
01.02.2006, 00:41 | #4 | |
| BDS/Agent.AY *hochhol* Zitat:
|
01.02.2006, 01:11 | #5 | |||
> MalwareDB | BDS/Agent.AY Hallo, Zitat:
Zitat:
Vie entscheidender ist aber diese Aussage Zitat:
Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
01.02.2006, 01:35 | #6 | |
| BDS/Agent.AY mogen ... doch ... user kann hjt-log geben... also eher ich .. hab sie hier ist immer bisschen kompliziert: fing ja alles an, als ich hier her kam - lesen,lernen - mein pc in ordnung bringen - schwester hat prob´s - in ordnung bringen (naja, also "ihr" ), und jetz kommen noch n paar mehr leute "zu mir" (keine angst, ich schmücke mich nicht mit fremden federn (!), ich verweise immer an "euch" (board) ) (nur leider haben die user keine zeit, oder sie verstehen´s nicht, was sie tun solln ...) anyway ... Zitat:
aber ich kann sie ja mal posten, wenn ich soll/darf. weiss ja nicht ob hier usw. soll ich? hier? |
01.02.2006, 01:46 | #7 | |
> MalwareDB | BDS/Agent.AY Hallo, Zitat:
Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
01.02.2006, 01:52 | #8 |
| BDS/Agent.AY ... ok ... danke. Logfile of HijackThis v1.99.1 Scan saved at 21:05:33, on 29.01.2006 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE C:\COMPAQ\CPQINET\CPQINET.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\EIGENE DATEIEN\MYTRAFFIC\MT.EXE C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\EAUSBKBD.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\802.11 WIRELESS LAN\802.11G WIRELESS CARDBUS & PCI ADAPTER HW.21 V1.30\WLANCU.EXE C:\PROGRAMME\HJT\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\Compaq\Easy Access Button Support\cpqeadm.exe O4 - HKLM\..\Run: [EACLEAN] C:\Programme\Compaq\Easy Access Button Support\eaclean.exe O4 - HKLM\..\Run: [CPQInet] c:\compaq\CPQInet\CpqInet.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Meine Traffic] C:\EIGENE~1\MYTRAF~1\MT.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O4 - Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe O4 - User Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab |
01.02.2006, 21:39 | #9 |
> MalwareDB | BDS/Agent.AY
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
01.02.2006, 23:05 | #10 |
| BDS/Agent.AY schön. den tread im link kenn ich schon, hatte ich als erstes gelesen, aber da war er ja "aktiv", der "agent" werd es aber nochmal abarbeiten. dann hat also antivir "seine hausaufgaben" gemacht und das ding gleich "abgefangen". und - wir haben "den" ja bei jotti hochgeladen und alle V-Scanner "spangen an" - danach haben wir ihn gelöscht - hätten wir ihn irgentwo einsenden sollen? (wegen "neue art" o.ä.?) |
01.02.2006, 23:12 | #11 | |
> MalwareDB | BDS/Agent.AY Hallo, Zitat:
Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
07.02.2006, 11:36 | #12 |
| BDS/Agent.AY hallo. ich hab leider nur wenig ahnng von der materie. ich hab diesen bds/agent.ay auch. was amcht der denn überhaupt und wie hab ich mir den eingefangen, und vor allem, wie werde ich ihn wieder los. ich hab ne dsl verbindung über router. hab den auch shcon gelöscht, aber der fehler kommt leider immer wieder. hier ist mal dieses logfile, ich hoffe ihr könnt mir helfen. mfg andreas Logfile of HijackThis v1.99.1 Scan saved at 11:23:29, on 07.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\DOKUME~1\Itzeman\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
07.02.2006, 15:47 | #14 |
> MalwareDB | BDS/Agent.AY Hallo, @ Itzemanm, öffne bitte einen neuen Thread! Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
Themen zu BDS/Agent.AY |
antivir, ausgeführt, backdoor, bds, beseitigt, datei, entstanden, erkannt, fagen, frage, löschen, löschen?, quara, quarantäne, schaden |