|
Log-Analyse und Auswertung: BDS/Bankdok.AS.3 /.AS.5 kommt immer wider ! log insideWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.09.2006, 17:43 | #1 |
| BDS/Bankdok.AS.3 /.AS.5 kommt immer wider ! log inside Logfile of HijackThis v1.99.1 Scan saved at 18:31:41, on 11.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\cFos1\cFosDNT.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\CPSHelpRunner.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\My Shared Folder\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*******.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h****.yahoo.com/fsc/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ]h*****de.yahoo.com/fsc/R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [h****red.clientapps.yahoo.com/customize/fuji/defaults/su/h******.yahoo.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check O4 - HKLM\..\Run: [RoxioDragToDisc] "c:\Programme\Roxio\WinOnCD 8\Drag to Disc\DrgToDsc.exe" O4 - HKLM\..\Run: [RoxWatchTray] "c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatchTray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos1\cFosDNT.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKCU\..\Run: [msnmsgr] "J:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [gdsgsh] C:\WINDOWS\system32\algdgai.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\Msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming333\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming333\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe O23 - Service: RoxMediaDB - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) also wie im titel schon geschrieben bringt mein antivir guard immer wieder die meldung dass diese 2 backdoorprogramm(?) oder was auch immer , in immer wieder anderen .exe dateien da sind ! habe immer auf löschen geklickt aber das kommt eben immer wieder. auf h**p://hijackthis.de hab ich das log schon auswerten lassen , aber wurde jetzt nichts gefunden bzw bei vielen sachen stand "unbekannt" ! bei C:\WINDOWS\system32\algdgai.exe war das ding auch schomal drin hoffe ihr könnt mir helfen wie ich mein problem beseitige. (ps. hab schon nach diesem bandok gegoogelt aber nichts gefunden !) Geändert von Sandro77 (11.09.2006 um 18:42 Uhr) |
11.09.2006, 18:34 | #2 |
Administrator > Competence Manager | BDS/Bankdok.AS.3 /.AS.5 kommt immer wider ! log inside Hallo!
__________________1.) editiere deinen Beitrag und entferne/verändere die noch AKTIVEN Links! 2.) überprüfe folgende Datei -> C:\WINDOWS\system32\algdgai.exe <- hier -> Virustotal (einfach die Verzeichnisangabe in das Feld kopieren und absenden (SEND) Poste die Auswertung, markieren, kopieren und hier in einen Beitrag einfügen! 3.) Wo wurden die "Backdoorprogramme" gefunden? Genau Verzeichnis- / Dateiangabe. (einfach im letzten Report von Antivir suchen!) 4.) Scanne dein System mit eScan, Anleitung dazu in meiner Signatur verlinkt. Gruß Sunny
__________________ |
12.09.2006, 11:28 | #3 |
| BDS/Bankdok.AS.3 /.AS.5 kommt immer wider ! log inside erstmal danke für die antwort!
__________________1)hab die links editiert , dachte vorhin schon die sind draussen ! 2)AntiVir n - no virus found Authentium n - no virus found Avast n - no virus found AVG n - no virus found BitDefender n - no virus found CAT-QuickHeal n - no virus found ClamAV n - no virus found DrWeb n - no virus found eTrust-InoculateIT n - no virus found eTrust-Vet n - no virus found Ewido n - no virus found Fortinet n - no virus found F-Prot n - no virus found F-Prot4 n - no virus found Ikarus n - no virus found Kaspersky n - no virus found McAfee n - no virus found Microsoft n - no virus found NOD32v2 n - no virus found Norman n - no virus found Panda n - no virus found Sophos n - no virus found Symantec n - no virus found TheHacker n - no virus found UNA n - no virus found VBA32 n - no virus found VirusBuster n - no virus found glaube die datei ist gelöscht ! weil unten auch 0kb file size steht 3)antivir zeigt mir nur nen sehr alten bericht [FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Bandok.AS.3 [INFO] Die Datei wurde gelöscht. darüber ne .zip wo ne exe drin war ... diese hab ich aber schon lange gelöscht ! ein neuer bericht ist nicht vorhanden von den letzten meldungen der .exe datein die aufgetaucht sind ! 4) habe gescannt damit , glaube das müsste das .log file sein oder? jedenfalls weiss ich nun nicht was ich löschen muss ! bzw wie ich das in killbox oder total commander eingeben muss ! General] EngineType=1 [Welchia] Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","","" Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","","" DeleteFile1=%winsysdir%\wins\svchost.exe DeleteFile2=%winsysdir%\wins\Dllhost.exe [LovGate] Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","","" Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","","" Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","","" Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","","" DeleteFile1=%winsysdir%\NetServices.exe DeleteFile2=%winsysdir%\RAVMOND.EXE DeleteFile3=%winsysdir%\RAVMOND.EXE DeleteFile4=%winsysdir%\WinGate.exe DeleteFile5=%winsysdir%\WinDriver.exe DeleteFile6=%winsysdir%\WinHelp.exe DeleteFile7=%winsysdir%\winrpc.exe DeleteFile8=%winsysdir%\ily.dll DeleteFile9=%winsysdir%\task.dll DeleteFile10=%winsysdir%\reg.dll DeleteFile11=%winsysdir%\1.dll DeleteFile12=%winsysdir%\win32vxd.dll DeleteFile13=%winsysdir%\kernel66.dll DeleteFile14=%winsysdir%\kernel66.dll DeleteFile15=%winsysdir%\iky668.dll DeleteFile16=%winsysdir%\reg678.dll DeleteFile17=%winsysdir%\task688.dll DeleteFile18=%winsysdir%\111.dll [CodeRed] DeleteFile1=%inetpub%\scripts\root.exe DeleteFile2=%PF%\common~1\system\MSADC\root.exe ;DeleteFile3=%SYSTEMDIR%explorer.exe ;DeleteFile3 commented because in XP (64-bit OS), explorer.exe is kept in system32 folder!!! Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D [OpaServ] DeleteFile1=%SYSTEMDIR%\Tmp.ini ; this is Opaserv.M DeleteFile2=%SYSTEMDIR%\MSLICENF.COM DeleteFile3=%SYSTEMDIR%\BOOT.EXE BAT1=Autoexec.bat,MSLICENF BAT2=Autoexec.bat,BOOT.EXE [Sobig.e] DeleteFile1=%winsysdir%\cgtask.exe DeleteFile2=%winsysdir%\mmtask.exe [Winupie] DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll [Swen] DeleteFile1=%winsysdir%\SWEN*.DAT [JS.Fortnight] DeleteFile1=%PF%\sign.htm DeleteFile2=%PF%\sign.html [Novarg] DeleteFile1=%winsysdir%\shimgapi.dll [Pagabot] Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"","" [Parite.b] Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"","" [Parite.a] Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"","" [Adware.SeekSeek] Reg1=HKEY_CURRENT_USER\Console,UUID,"","" Reg2=HKEY_CURRENT_USER\Console,lp,"","" |
12.09.2006, 14:18 | #4 |
| BDS/Bankdok.AS.3 /.AS.5 kommt immer wider ! log inside Halöö, sorry wenn ich jetzt bisschen stolpernd vorran gehe, aber für mich sieht dein logfile ganz ok aus. Ich hab's 3mal durchgeschaut. Falls du kein WinAmp haben solltest, is das dein Würmchenansprechpartner O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe Wenn Realplayer nicht vorhanden: C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe Was "cFosDNT.exe" ist, würde ich soweiso gerne mal wissen (finde ich nirgends) Deinen Verdacht hierauf kann ich auch nicht wirklich bestätigen: O4 - HKCU\..\Run: [gdsgsh] C:\WINDOWS\system32\algdgai.exe Ich habe die Datei schon bei vielen harmlosen Logfiles gesehen. Kann es vielleicht sein, dass du schon Schaden davon getragen hast, aber kein Schädling selber mehr drauf hast? Cleriker |
14.09.2006, 11:07 | #5 |
| BDS/Bankdok.AS.3 /.AS.5 kommt immer wider ! log inside ja kann gut möglich sein , cfos ist ein programm mit dem man online gehen kann |
14.09.2006, 13:22 | #6 | |
| BDS/Bankdok.AS.3 /.AS.5 kommt immer wider ! log inside Hallo, Zitat:
Wenn die Datei gelöscht wäre, dann würde keine auswertung erfolgen! Oder kannst du einen Ordner öffnen, den es nicht gibt? Genauso ist es bei der Auswertung! Also an der Datei ist Definitiv was Faul! Versuche sie mal aufs Desktop zu Kopieren und Umzubennen. Mache dann erneut einen Online Scann! Gruß mellosun PS: Ergebniss natürlich Posten....komplett!
__________________ --> BDS/Bankdok.AS.3 /.AS.5 kommt immer wider ! log inside |
18.09.2006, 17:25 | #7 |
| BDS/Bankdok.AS.3 /.AS.5 kommt immer wider ! log inside findet er nicht wenn ich sie suche... ich muss wohl das system neu aufsetzten weil ich nun auch noch nen lag hab beim zocken der sonst nicht da ist |
Themen zu BDS/Bankdok.AS.3 /.AS.5 kommt immer wider ! log inside |
adobe, antivir, antivir guard, auswerten, avg, avira, bho, explorer, helfen, helper, hijack, hijackthis, immer wieder, internet, internet explorer, logfile, löschen, magix, nvidia, pdf, problem, programme, rundll, server, software, system, windows, windows xp |