AntiVir findet BDS/Agent.ajs

Kyem · 13.01.2007, 10:37

Liebes Forum!
Nach einem Scan mit AntiVir bekomme ich immer die Meldung, dass der BDS/Agent ajs gefunden. Leider hilft mir auch das Löschen nicht weiter. Kann mir jemand helfen. Danke im voaus.

**Sunny** · 13.01.2007, 11:17

Hallo.

Bitte den genauen Verzeichnispfad des der Datei angeben.
(steht im letzten Report von Antivir!)

Außerdem kannst du ein Hijacklog posten, Anleitung dazu in meiner Signtur verlinkt.

Gruß
Sunny

Kyem · 13.01.2007, 11:47

Hi!
Anbei das Logfile von AntiVir. Ich muss dazu sagen dass ich reiner Anwender bin und sowas zum 1x mache. Also bitte um Nachsicht, wenn ich nicht alles sofort verstehe.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'AVGNT.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'HARDCOPY.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'pdfSaver3.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'MmReminderService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'OneTouch.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'MXOALDR.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'FPASSIST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'CloneCDTray.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'JUSCHED.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'ZLCLIENT.EXE' - '0' Module wurden durchsucht
Durchsuche Prozess 'DevDetect.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'USSRB.EXE' - '1' Module wurden durchsucht
Modul ist infiziert -> 'C:\WINDOWS\system32\ussrb.exe'
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'CPLBCL53.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'HKCMD.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'IGFXTRAY.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'VSMON.EXE' - '0' Module wurden durchsucht
Durchsuche Prozess 'RETRORUN.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'LckFldService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Module wurden durchsucht
Infected processes will be killed
Process 'USSRB.EXE' will be killed
Infected Process 'USSRB.EXE' will be rescanned
C:\WINDOWS\system32\ussrb.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.ajs
[INFO] Die Datei wurde gelöscht.

Es wurden '45' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( 35 Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\agtrfk.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.ajs
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{FFCDD1B6-751B-4E0A-BF08-5E2B30F9F43D}\RP160\A0014625.EXE
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.ajs
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{FFCDD1B6-751B-4E0A-BF08-5E2B30F9F43D}\RP160\A0014627.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.ajs
[INFO] Die Datei wurde gelöscht.

Kyem · 13.01.2007, 12:00

... und hier noch das "Logfile of HijackThis"
Danke im voraus!

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\MXOALDR.EXE
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\00 PRIVAT\20 COMPUTER\PROGRAMME\HijackThis 1.99\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\ussrb.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166458489983
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166461888073
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC9B90B7-1545-42CB-87F5-749F23E183D5}: NameServer = 195.34.133.21 195.34.133.22
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Microsoft BIOS Drivers - Unknown owner - C:\WINDOWS\system32\vcmon.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

XxJakeBluesxX · 13.01.2007, 12:24

Versuche mal das von Hjjackthis beheben zu lassen:

Zitat:

O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\ussrb.exe

Eintrag markieren und auf "Fix checked" klicken. Ich konnte mit Google keinen Hinweis finden was diese ussrb.exe für eine Datei ist. Könnte eine verseuchte Datei aus Russland sein, wegen dem USSR in ussrb.exe.

**Sunny** · 13.01.2007, 13:32

Zitat:

Zitat von XxJakeBluesxX

Eintrag markieren und auf "Fix checked" klicken. Ich konnte mit Google keinen Hinweis finden was diese ussrb.exe für eine Datei ist. Könnte eine verseuchte Datei aus Russland sein, wegen dem USSR in ussrb.exe.

Mit dem normalen fixen ist es hier bei weitem nicht mehr getan, außerdem wie kommst du darauf das die Datei ussrb.exe mit der USSR (welche übrigens die UDSSR war) zu tun hat?

@Kyem

Dein System ist als Kompromittiert anzusehen, es sind mindestens 2 BackdoorTrojaner im System:

Zitat:

O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)

W32/Sdbot-LM

Zitat:

C:\WINDOWS\system32\agtrfk.exe
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.ajs

Außer einer Neuinstallation des Betriebssystems wird dir hier anders sicherlich nicht mehr geholfen werden können!
Mehr dazu in meiner Signatur -> Neuafsetzen und anschliessende Absicherung

Gruß
Sunny

XxJakeBluesxX · 13.01.2007, 13:42

Zitat:

Zitat von [Gc]Sunny

Mit dem normalen fixen ist es hier bei weitem nicht mehr getan, außerdem wie kommst du darauf das die Datei ussrb.exe mit der USSR (welche übrigens die UDSSR war) zu tun hat?

Klick mich...

Und kennst Du nicht den Song "Back in the USSR" von den Beatles?

**Sunny** · 13.01.2007, 13:51

Zitat:

Zitat von XxJakeBluesxX

Klick mich...

Und kennst Du nicht den Song "Back in the USSR" von den Beatles?

Nein, den Song kenne ich nicht, und USSR habe ich noch nie gehört!
Zumal UDSSR auch am geläufigsten ist/war.

13.01.2007, 11:17	#2
Sunny Administrator > Competence Manager	AntiVir findet BDS/Agent.ajs Hallo. Bitte den genauen Verzeichnispfad des der Datei angeben. (steht im letzten Report von Antivir!) Außerdem kannst du ein Hijacklog posten, Anleitung dazu in meiner Signtur verlinkt. Gruß Sunny __________________ __________________

AntiVir findet BDS/Agent.ajs

Log-Analyse und Auswertung: AntiVir findet BDS/Agent.ajs