Hallo zusammen,

Antivir meldete gestern folgenden Fund:

wurde ein Virus oder unerwünschtes Programm 'BDS/Agent.elw' gefunden


hab daraufhin schon mal mit HiJack ein wenig gesäubert.
Aktuelles Log sieht so aus.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:22:21, on 18.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
d:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
d:\Programme\NetLimiter 2 Pro\NLClient.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\ST\Drv\saicnfig.exe /autorun
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: OptiCAL Startup.lnk = C:\Programme\PANTONE COLORVISION\OptiCAL\OptiCal.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BF8D2F1-C69A-4F4D-8FFC-19836320A119}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NetLimiter (nlsvc) - Locktime Software - d:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6550 bytes



Danach mit Escan auch im abgesicherten Modus gescannt, mit folgenden relevanten Funden:


18 Feb 2008 01:29:08 => Offending Key found: HKLM\Software\magnet !!!
18 Feb 2008 01:29:16 => Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

18 Feb 2008 01:29:16 => Offending Key found: HKCR\magnet !!!
18 Feb 2008 01:29:16 => Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

18 Feb 2008 01:29:24 => Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com
18 Feb 2008 01:29:24 => System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 01:29:25 => Offending file found: C:\WINDOWS\iun6002.exe
18 Feb 2008 01:29:25 => System found infected with remacc.multiwebsurv Generic Malware (C:\WINDOWS\iun6002.exe)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 01:29:25 => Offending file found: C:\WINDOWS\tasks\at1.job
18 Feb 2008 01:29:25 => System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Maßnahme ergriffen.

Datei C:\Programme\svchosts.tbe/svchosts.exe infiziert durch den Virus "Password-protected-EXE"! Maßnahme ergriffen: Keine Maßnahme ergriffen.

Datei G:\Dokumente und Einstellungen\Janosch\Eigene Dateien\desktop.ini infiziert durch den Virus "VB.CO.Leftover"! Maßnahme ergriffen: Keine Maßnahme ergriffen.


Unschön ist ja, dass Escan nichts macht wenn es nicht kauft.
Lohnt der Kauf in diesem Fall?
Oder wie könnt Ihr mir weiterhelfen.

Bin für jeden Rat dankbar.

Viele Grüße

Micha

Hi,
unschön ist vor allem, dass du nicht sagst wo Antivir die Funde meldet und dass du die betreffenden Zeilen auch aus dem HJT-Log herausgelöscht hast. So sieht man an der Oberfläche erstmal nichts.

Lass bitte mal folgende Datein bei virustotal auswerten:

Zitat:

C:\Programme\svchosts.tbe/svchosts.exe

Kennst du diesen geplanten Task:
C:\WINDOWS\tasks\at1.job

Was hat a-squared gefunden?
Führe bitte noch die find.bat aus, damit wir sichern sein können, dass du nicht ausversehen einen Fund übersehen hast.

lg myrtille

Hm das mit dem vorherigen Löschen war mist, sorry.

Hier nochmal die Originalmeldung von Antivir:
In der Datei 'C:\System Volume Information\_restore{0A4AA4CF-7E63-426B-9D21-3AB7107D5059}\RP168\A0041115.sys'
wurde ein Virus oder unerwünschtes Programm 'BDS/Agent.elw' [BDS/Agent.elw] gefunden.
Ausgeführte Aktion: Datei löschen


Jetzt kam gerade die Meldung:

In der Datei 'E:\System Volume Information\_restore{0A4AA4CF-7E63-426B-9D21-3AB7107D5059}\RP1\A0000078.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Keygen.BF' [TR/Keygen.BF] gefunden.

Obwohl ich die Systemwiederherstellung schon deaktiviert und wieder aktiviert habe, findet sich das alles wohl in diesen Dateien?

Über Svchosts wird folgendes gesagt:

Datei svchosts.tbe empfangen 2008.02.11 13:58:20 (CET)
Status: Beendet
Ergebnis: 2/32 (6.25%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.11.10 2008.02.11 -
AntiVir 7.6.0.62 2008.02.11 -
Authentium 4.93.8 2008.02.11 -
Avast 4.7.1098.0 2008.02.10 -
AVG 7.5.0.516 2008.02.11 -
BitDefender 7.2 2008.02.11 -
CAT-QuickHeal None 2008.02.11 -
ClamAV 0.92 2008.02.11 -
DrWeb 4.44.0.09170 2008.02.11 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5527 2008.02.11 -
Ewido 4.0 2008.02.11 -
FileAdvisor 1 2008.02.11 -
Fortinet 3.14.0.0 2008.02.11 -
F-Prot 4.4.2.54 2008.02.10 -
F-Secure 6.70.13260.0 2008.02.11 -
Ikarus T3.1.1.20 2008.02.11 -
Kaspersky 7.0.0.125 2008.02.11 Password-protected-EXE
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.11 -
NOD32v2 2863 2008.02.11 error - password-protected file
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.10 -
Prevx1 V2 2008.02.11 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.11 -
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.11 -
TheHacker 6.2.9.216 2008.02.11 -
VBA32 3.12.6.0 2008.02.10 -
VirusBuster 4.3.26:9 2008.02.10 -
Webwasher-Gateway 6.6.2 2008.02.11 -
weitere Informationen
File size: 56239 bytes
MD5: 1e3013a4fe9f5ab192c99dca7ade2e44
SHA1: fe374b9c37cbbeedafe3346d33ffbd9b542dd4b1
PEiD: -


den
C:\WINDOWS\tasks\at1.job

kenn ich nicht, habe ich gestern entfernt und ist zur Zeit auch nicht wieder eingetragen worden.

Die find.bat gibt es nicht. Das Escan (MWAV) was man downloaden kann sieht jetzt auch irgendwie anders aus, als in der Anleitung. Es nur eine Exe die sich selbst extrahiert und dann das Programm startet.

Vielen Dank schon mal für die weitere Hilfe.

Viele Grüße

Micha