Bitte um Hilfe mit Trojan.Downloader.Win32.Agent.bda!!!

hugo001 · 24.01.2007, 18:37

Hallo zusammen!

Habe versucht mich mit der Boardsuche schlau zu machen, bin aber leider auf keinen grünen Zweig gekommen, also bitte ich euch hier um Hilfe!

Mein Problem:

Kaspersky Anti-Virus Personal 5.0.527 findet bei jeder Überprüfung den Trojaner Trojan.Downloader.Win32.Agent.bda im Objekt C:\WINDOWS\hide_evr2.sys!
Wenn ich ihn löschen versuche, kommt sofort "Bearbeitungsfehler".

Da ich leider absolut überhaupt keine Ahnung habe, was ich nun weiter machen kann, wäre es wirklich sehr nett, wenn ihr mir weiterhelfen könntet!

Danke schon mal im Voraus!

Mit freundlichen Grüßen,
Michael

**Sunny** · 24.01.2007, 18:41

Hallo Michael,

poste doch als erstes mal ein Hijacklog, und um die Datei kümmern wir uns später...

Gruß
Sunny

hugo001 · 24.01.2007, 19:31

Hoffe, dass ich soweit einmal alles richtig gemacht habe!

Logfile of HijackThis v1.99.1
Scan saved at 19:25:16, on 24.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\Program Files\OO Software\CleverCache\OOCCSVC.exe
C:\Program Files\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\Program Files\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\9129837.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cidaemon.exe
H:\iTunes\iTunesHelper.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Boss\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\WINDOWS\Program Files\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\WINDOWS\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\WINDOWS\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\WINDOWS\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\WINDOWS\Program Files\OO Software\CleverCache\OOCCSVC.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Program Files\HHVcdV7Sys\VC7SecS.exe

Liebe Grüße,
Michael!

**Sunny** · 24.01.2007, 20:57

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\9129837.exe
C:\WINDOWS\System32\ipv6mons.dll

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

hugo001 · 25.01.2007, 14:55

Zitat:

C:\WINDOWS\9129837.exe

Complete scanning result of "9129837.exe", processed in VirusTotal at 01/24/2007 23:38:48 (CET).

[ file data ]
* name: 9129837.exe
* size: 19604
* md5.: 3a8b303a4e1819a4eefca37a701d3fe6
* sha1: 000c2435d03df8d20fc9df2411c5245e32abaa9d

[ scan result ]
AntiVir 7.3.0.26/20070124 found [TR/PSW.Small.bs]
Authentium 4.93.8/20070124 found nothing
Avast 4.7.936.0/20070124 found [Win32:Small-BMW]
AVG 386/20070124 found [Generic2.PZN]
BitDefender 7.2/20070124 found [Dropped:Generic.Malware.SBg.7B46B400]
CAT-QuickHeal 9.00/20070124 found [TrojanDownloader.Agent.bda]
ClamAV devel-20060426/20070124 found nothing
DrWeb 4.33/20070124 found [Trojan.PWS.Pape]
eSafe 7.0.14.0/20070124 found [Win32.Polipos.sus]
eTrust-InoculateIT 23.73.121/20070124 found nothing
eTrust-Vet 30.3.3347/20070124 found [Win32/Ursnif!generic]
Ewido 4.0/20070124 found [Trojan.Pape]
F-Prot 3.16f/20070123 found nothing
F-Prot4 4.2.1.29/20070123 found nothing
Fortinet 2.85.0.0/20070124 found [W32/Small.B6D5!tr.bdr]
Ikarus T3.1.0.27/20070124 found [Trojan-Downloader.Win32.Zlob.and]
Kaspersky 4.0.2.24/20070124 found nothing
McAfee 4948/20070124 found nothing
Microsoft 1.1904/20070124 found [TrojanSpy:Win32/Ursnif.gen!A]
NOD32v2 2004/20070124 found [probably unknown NewHeur_PE virus]
Norman 5.80.02/20070124 found [W32/DLoader.BKSE]
Panda 9.0.0.4/20070124 found [Trj/Spyforms.W]
Prevx1 V2/20070124 found [Win32.Malware.gen]
Sophos 4.13.0/20070124 found [Mal/Behav-044]
Sunbelt 2.2.907.0/20070122 found [Trojan-PSW.Win32.Hooker.24.c]
TheHacker 6.0.3.155/20070124 found nothing
UNA 1.83/20070124 found nothing
VBA32 3.11.2/20070124 found [Trojan.PWS.Pape]
VirusBuster 4.3.19:9/20070124 found [novirus:Packed/Upack]

[ notes ]
packers: Upack
packers: UPACK
packers: UPack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=e23561980303

Zitat:

C:\WINDOWS\System32\ipv6mons.dll

Complete scanning result of "ipv6mons.dll", processed in VirusTotal at 01/25/2007 00:01:57 (CET).

[ file data ]
* name: ipv6mons.dll
* size: 39144
* md5.: 27b50ffbc6e19bffab7754acf5465af7
* sha1: 81931f55210bd1e89bde1f58ea2ca96509513366

[ scan result ]
AntiVir 7.3.0.26/20070124 found [TR/Spy.Bzub.BZ]
Authentium 4.93.8/20070124 found nothing
Avast 4.7.936.0/20070124 found nothing
AVG 386/20070124 found [PSW.Generic2.VJK]
BitDefender 7.2/20070124 found [Trojan.Spy.Bzub.BZ]
CAT-QuickHeal 9.00/20070124 found nothing
ClamAV devel-20060426/20070124 found [Trojan.Spy-244]
DrWeb 4.33/20070124 found [Trojan.DownLoader.15867]
eSafe 7.0.14.0/20070124 found nothing
eTrust-InoculateIT 23.73.121/20070124 found nothing
eTrust-Vet 30.3.3347/20070124 found nothing
Ewido 4.0/20070124 found [Logger.BZub.gq]
F-Prot 3.16f/20070123 found nothing
F-Prot4 4.2.1.29/20070123 found nothing
Fortinet 2.85.0.0/20070124 found [W32/Agent.NBZ!tr.spy]
Ikarus T3.1.0.27/20070124 found [MalwareScope.Trojan-Spy.BZub.3]
Kaspersky 4.0.2.24/20070124 found nothing
McAfee 4948/20070124 found [Spy-Agent.ba.dll]
Microsoft 1.1904/20070124 found nothing
NOD32v2 2004/20070124 found [Win32/Spy.BZub.NBZ]
Norman 5.80.02/20070124 found [W32/Smalltroj.YFM]
Panda 9.0.0.4/20070124 found nothing
Prevx1 V2/20070125 found nothing
Sophos 4.13.0/20070124 found nothing
Sunbelt 2.2.907.0/20070122 found nothing
TheHacker 6.0.3.155/20070124 found nothing
UNA 1.83/20070124 found [Trojan.Spy.Win32.BZub.D5A6]
VBA32 3.11.2/20070124 found [MalwareScope.Trojan-Spy.BZub.3]
VirusBuster 4.3.19:9/20070124 found [Trojan.DR.BZub.Gen.4]

[ notes ]
packers: Sobcrypt
packers: Sobcrypt

Danke und Gruß
Michael

**Sunny** · 25.01.2007, 15:28

Mach jetzt folgendes:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen und bereinigen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Zusätzlich dann nochmal ein neues Hijacklog.

Gruß
Sunny

hugo001 · 27.01.2007, 15:55

Gut, SP2 installiert...

Firewall ist allerdings inaktiv. Wenn ich sie über Start- Systemsteuerung - Windows-Firewall starten versuche kommt die Meldung

"Aufgrund eines unbekannten Problems können die Einstellungen des Windows-Firewalls nicht angezeigt werden"

Hat da der Trojaner damit was zu tun und sollte der jetzt eigentlich schon weg sein?

Und noch eine Frage bezüglich des Kaspersky-AV:

Der KAV stürzt neuerdings ständig ab und hat auch schon seit 17.01. nicht mehr geupdated (lässt sich auch manuell nicht abdaten / Lizenzschlüssel aber gültig)!
Jetzt bin ich am überlegen ob ich nicht auf AntiVir umsteigen sollte!
Was meinst du dazu!

Danke für die Hilfe und Lg
Michael

24.01.2007, 18:41	#2
Sunny Administrator > Competence Manager	Bitte um Hilfe mit Trojan.Downloader.Win32.Agent.bda!!! Hallo Michael, poste doch als erstes mal ein Hijacklog, und um die Datei kümmern wir uns später... Gruß Sunny __________________ __________________

Bitte um Hilfe mit Trojan.Downloader.Win32.Agent.bda!!!

Plagegeister aller Art und deren Bekämpfung: Bitte um Hilfe mit Trojan.Downloader.Win32.Agent.bda!!!