haalo,

frage: wenn "antivir" einen backdoor(?) erkannt und in quarantäne verschonen hat, ist dann schaden entstanden?

und diese datei löschen?
gab ja schon einen tread hier
http://www.trojaner-board.de/showthr...bds%2Fagent.ay
aber da wurde er ja ausgeführt, also hat schaden angerichtet und sollte beseitigt werden.

Hallo,

wo hat AntiVir ihn den erkannt, dass Du meinst, er sei nicht aktiv gewesen?

Gruß

Schrulli

haalö,

es war nicht auf meinem rechner -

"irgentwann" hat wohl jemand mit dem windows-media-player
radio hören wollen, und dabei ist es dann passiert -

mehrere IE-fenster von alleine geöffnet - user hat gleich internetverb. getrennt.

-> winME, antivir, ZA (...ich weiss ), dsl1000, router ... <-
beim nächsten start "kam" scandisk, und antivir sprang an.
>"BDS/Agent.AY" backdoor< usw

ich bekam dann den anruf, und dachte natürlich erstmal daran
-backdoor - neuaufsetzen-

leider wollte user nicht neuaufsetzen

ich nahm mir dessen hjt-log vor und studierte

nachdem ich alles über google und hier onboard abgeklappert hatte, was so in der log zu finden war, waren einige verdächtige exe (4-5 stück) die wir dann bei jotti scannen ließen - wurde aber nichts gefunden.
(außer 2 hinweise, dass "was gepackt war" ... kanns nicht wiedergeben )

die datei im ordner infected (antivir) haben "wir" ebenfalls bei jotti prüfen lassen - volltreffer - aber heisst ja bei jedem softwarehersteller anders.

datei(en) (eine kleine "ini" war auch dabei) mit clearprog 8-fach überschrieben,
systemwiederhestellung de- (neustart) und wieder aktiviert,
alles upgedatet.

ist da "was" zu befürchten?

*hochhol*

Zitat:

frage: wenn "antivir" einen backdoor(?) erkannt und in quarantäne verschonen hat, ist dann schaden entstanden?

?

Hallo,

Zitat:

frage: wenn "antivir" einen backdoor(?) erkannt und in quarantäne verschonen hat, ist dann schaden entstanden?

Da hält es sich wie mit Henne und Ei, was war zuerst da.

Zitat:

"irgentwann" hat wohl jemand mit dem windows-media-player
radio hören wollen, und dabei ist es dann passiert -
mehrere IE-fenster von alleine geöffnet - user hat gleich internetverb. getrennt.
-> winME, antivir, ZA (...ich weiss ), dsl1000, router ... <-
beim nächsten start "kam" scandisk, und antivir sprang an.
>"BDS/Agent.AY" backdoor< usw

Also muss der ja irgendwie ins System gekommen sein, hört sich an, als sei er aktiv geworden.

Vie entscheidender ist aber diese Aussage

Zitat:

Zitat von cotton

leider wollte user nicht neuaufsetzen

Wenn er nicht will, was willst Du tun? Scheinbar kann uns dieser User nicht mal ein HJT Log zur Verfügung stellen und wir müssen alle mal raten und mutmaßen, ob oder ob nicht befallen.

Gruß

Schrulli

mogen ...

doch ... user kann hjt-log geben... also eher ich .. hab sie hier

ist immer bisschen kompliziert:
fing ja alles an, als ich hier her kam - lesen,lernen - mein pc in ordnung bringen - schwester hat prob´s - in ordnung bringen (naja, also "ihr" ),
und jetz kommen noch n paar mehr leute "zu mir"
(keine angst, ich schmücke mich nicht mit fremden federn (!), ich verweise immer an "euch" (board) )
(nur leider haben die user keine zeit, oder sie verstehen´s nicht, was sie tun solln ...)

anyway ...

Zitat:

Also muss der ja irgendwie ins System gekommen sein, hört sich an, als sei er aktiv geworden.

ich hab die log komplett durchforstet - fand nichts.
aber ich kann sie ja mal posten, wenn ich soll/darf. weiss ja nicht ob hier usw.
soll ich? hier?

Hallo,

Zitat:

Zitat von cotton

aber ich kann sie ja mal posten, wenn ich soll/darf. weiss ja nicht ob hier usw.
soll ich? hier?

JA

Gruß

Schrulli

... ok ... danke.


Logfile of HijackThis v1.99.1
Scan saved at 21:05:33, on 29.01.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\COMPAQ\CPQINET\CPQINET.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\EIGENE DATEIEN\MYTRAFFIC\MT.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\EAUSBKBD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\802.11 WIRELESS LAN\802.11G WIRELESS CARDBUS & PCI ADAPTER HW.21 V1.30\WLANCU.EXE
C:\PROGRAMME\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Programme\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [CPQInet] c:\compaq\CPQInet\CpqInet.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Meine Traffic] C:\EIGENE~1\MYTRAF~1\MT.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
O4 - User Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab

Hallo,

Dein Log sieht sauber aus.

Schau einfach mal hier.

Gruß

Schrulli

schön.

den tread im link kenn ich schon, hatte ich als erstes gelesen,
aber da war er ja "aktiv", der "agent"

werd es aber nochmal abarbeiten.

dann hat also antivir "seine hausaufgaben" gemacht und das ding gleich "abgefangen".

und - wir haben "den" ja bei jotti hochgeladen und alle V-Scanner "spangen an" - danach haben wir ihn gelöscht -

hätten wir ihn irgentwo einsenden sollen? (wegen "neue art" o.ä.?)

Hallo,

Zitat:

Zitat von cotton

hätten wir ihn irgentwo einsenden sollen? (wegen "neue art" o.ä.?)

den gibt es wohl schn länger....

Gruß

Schrulli

hallo.

ich hab leider nur wenig ahnng von der materie. ich hab diesen bds/agent.ay auch.
was amcht der denn überhaupt und wie hab ich mir den eingefangen, und vor allem, wie werde ich ihn wieder los. ich hab ne dsl verbindung über router. hab den auch shcon gelöscht, aber der fehler kommt leider immer wieder.
hier ist mal dieses logfile, ich hoffe ihr könnt mir helfen.
mfg
andreas
Logfile of HijackThis v1.99.1
Scan saved at 11:23:29, on 07.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\DOKUME~1\Itzeman\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

@Itzeman
ich finde in deiner log nichts.
du kannst aber mal hier reingucken.
und (falls noch nicht bekannt) hier

Hallo,

@ Itzemanm, öffne bitte einen neuen Thread!

Gruß

Schrulli