|
Log-Analyse und Auswertung: Hab den BDS/Agent.vxa.1Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.01.2009, 20:22 | #1 |
| Hab den BDS/Agent.vxa.1 Hi Leute, Ich hab folgendes Problem ich hab jetzt seid 2 Wochen den Virus BDS/Agent.vxa.1. Ich hab schon nach lösungen gesucht hab aber immer nur gelesen man sollte eine System wiederherstellung durchführen. Ich hab aber keine ahnung wie ich das ohne Datenverlust hin krieg und auch keine Datensicherungen. Jetzt hab ich mal ein Hijacks Logfile erstellt und wüsste gerne ob mir djemand sagen könnte was ich jetzt tun kann. Hier die Warnung die ich immer bekomme In der Datei 'C:\WINDOWS\system32\c_397380.nls' wurde ein Virus oder unerwünschtes Programm 'BDS/Agent.vxa.1' [backdoor] gefunden. Ausgeführte Aktion: Datei löschen Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:48:37, on 07.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\avmclient\AvmObex.exe C:\Programme\avmclient\AvmObex.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\avmclient\avmbtservice.exe C:\Programme\avmclient\panapp.exe C:\Programme\avmclient\AvmObexService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.worldofgothic.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {A20B1BB0-AC3D-4530-85F3-791B81303190} (ICQDevilImg Control) - http://xtraz.icq.com/xtraz/products/...CQDevilImg.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC4FBF1-DB1D-4450-B968-DD5CCA0D0FE3}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Microsoft DDE+ server (f27e2ec3ba8ce027) - Unknown owner - C:\WINDOWS\system32\.f27e2ec3ba8ce027\f27e2ec3ba8ce027.exe (file missing) O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe O23 - Service: RoxMediaDB - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe O23 - Service: RoxUpnpServer - Sonic Solutions - c:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe -- End of file - 8612 bytes Danke schonmal im Vorraus Geändert von Balrog (07.01.2009 um 20:49 Uhr) |
08.01.2009, 13:01 | #2 |
| Hab den BDS/Agent.vxa.1 Hallo Balrog.
__________________Also zuerst denke ich wir können das Problem in den Griff bekommen. Aber jetzt im Ernst: 2 Wochen nach einer Infizierung erst so einen Threat aufzumachen ist definitiv zu Spät! Ich gehe mal davon aus das du hier wichtige Dateien auf dem PC hast. In manchen fällen ist sogar eine Reinigung ein paar Stunden nach der Infizierung zu Spät! Also immer so schnell wie möglich. Jetzt zum Thema: Ich würde gerne wissen welche Anti-Viren Programme du schon hast durchlaufen lassen. Ob sie irgendwelche befunde/aktionen gemacht haben. Außerdem: Gibt es vielleicht irgendwelche Anzeichen für den Schädling? (zB hohe CPU Auslastung, langsames Inet, ungefragte pop-ups etc) 1.) Bitte folgenden Eintrag / folgende Einträge mit HijackThis fixen: Code:
ATTFilter O23 - Service: Microsoft DDE+ server (f27e2ec3ba8ce027) - Unknown owner - C:\WINDOWS\system32\.f27e2ec3ba8ce027\f27e2ec3ba8c e027.exe (file missing) Lade bitte SUPERAntiSpyware herunter und update es. Dann bitte im abgesicherten Modus starten und durchlaufen lassen. Das Ergebniss hier posten. Viel Erfolg! Geändert von Shadow_1990 (08.01.2009 um 13:14 Uhr) |
08.01.2009, 13:24 | #3 |
Gast | Hab den BDS/Agent.vxa.1 Ich denke, dieses Thema wird bald im Mülleimer landen, da keine Links abgeändert worden sind...
__________________Aber trotzdem eine Frage an dich Shadow1990: Du suchst doch selber grade nach Hilfe und zwar HIER. Bist du sicher, dass du die Probleme anderer dann Lösen kannst??? |
08.01.2009, 13:30 | #4 | |
| Hab den BDS/Agent.vxa.1Zitat:
|
08.01.2009, 13:35 | #5 |
Gast | Hab den BDS/Agent.vxa.1 Na, ob ich das glauben soll? |
08.01.2009, 13:38 | #6 |
| Hab den BDS/Agent.vxa.1 Ich weiß es klingt banal, aber so is das in ner WG. Da hat man nur einen Computer. Trotzdem ist jetzt nicht hier der platz über sowas zu diskutieren. Wenn du mich anzweifelst ist das mit mir in ordnung. Aber bis jetzt hat sich noch keiner beschwert. Schreib mir ne PM wenn du mich anzweifeln willst. Geändert von Shadow_1990 (08.01.2009 um 13:44 Uhr) |
08.01.2009, 13:53 | #7 | |
Gast | Hab den BDS/Agent.vxa.1Zitat:
Da wirft sich mir nur noch eine allerletzte Frage auf, wenn doch dein Mitbewohner den selben PC wie du benutzt, also an dem sitzt, an dem du dich auch aufhälst, frage ich mich, wieso dein Mitbewohner sich Hilfe in nem Board sucht und nicht einfach dich fragt??? So halte mich ab jetzt raus.... |
08.01.2009, 14:10 | #8 | |
| Hab den BDS/Agent.vxa.1Zitat:
|
09.01.2009, 03:05 | #9 |
Hab den BDS/Agent.vxa.1 @Shadow_1990 Ich hab an deiner Theorie auch meine Zweifel. Zum einen solltest du einen etwas freundlicheren Umgangston gegen andere User (hier Helena1) haben, du schreibst hier mit realen Menschen. Und wenn die 1990 für dein Geburtsjahr stehen, kannst du wohl noch nicht sehr lange studieren. Und durch deine unkompetente Vorgehensweise gegenüber des TO lässt sich schließen, dass du herzlich wenig Ahnung von der Materie hier hast. Und bevor du hier versuchst anderen zu helfen (was vermutlich nett gemeint ist) solltest du lieber deine eigenen Probleme in den Griff bekommen, wie Helena1 dir schon gezeigt hat. So, zu dir Balrog: Ich rate dir, dein System plattzumachen und Windows neuaufzuspielen. Der Befund von Avira deutet auf eine Silentbanker Infektion hin und mit sowas sollte man nicht spaßen. Zwecks Analyse und falls du dich mit einem Neuaufsetzen nicht zufriedenstellen willst, führe bitte folgendes Tool aus: ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
10.01.2009, 22:25 | #10 |
| Hab den BDS/Agent.vxa.1 Also erstens Shadow Ich habe mit Avira AntiVir nen Durchlauf gemacht der hat den auch gefunden konnte ihn aber nicht löschen. Ich habe auch noch Ad-Aware aber keinen suchlauf damit gemacht. Und mit Combofix und HijackThis Logfiles erstellt und auch ein paar sachenbeseitigt. Aber dieser Teil geht nicht weg. O23 - Service: Microsoft DDE+ server (f27e2ec3ba8ce027) - Unknown owner - C:\WINDOWS\system32\.f27e2ec3ba8ce027\f27e2ec3ba8c e027.exe (file missing) Und ich habe vor 3 Tagen diesen BDS in mit Avanger versucht zu löschen. Es gibt jetzt keine Warnung mehr und mein PC startet wieder mit voller geschwindigkeit (was er wo die Warnung noch gekommen ist nicht getan hat) aber ich glaube nicht das ich ihn beseitigt habe. So und Silent ich habe mit ComboFix versucht ein Logfile zu erstellen aber er bringt auf einmal die Meldung "C:/Windows/system32 ist falsch geschrieben oder existiert nicht" danach macht er gar nichts mehr. Und Neuaufsetzung gehört nicht zu meiner Favoriten wahl da ich weder Sicherungen noch die orginal XP CD hab. |
18.01.2009, 23:55 | #11 |
| Hab den BDS/Agent.vxa.1 Ich weiß ihr habt viel zu tun aber kann mir bitte jemand sagen was ich jetzt machen soll ? |
Themen zu Hab den BDS/Agent.vxa.1 |
ad-aware, antivir, avg, avira, backdoor, bho, downloader, ellung, excel, google, helper, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, logfile, magix, object, problem, programm, rundll, software, system, system wiederherstellung, virus, warnung, windows, windows xp |