| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antivir findet Backdoor BDS/Agent.AYWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.09.2004, 12:12
| #31 |
| |  Antivir findet Backdoor BDS/Agent.AY Ich gehe über T-DSL und AOL ins Internet. Fastpath hab ich auch. Neue Logfile im nicht-geschützen Mod. Logfile of HijackThis v1.98.2 Scan saved at 13:06:52, on 23.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\WINDOWS\DitExp.exe D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\WINDOWS\System32\RunDLL32.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe C:\Programme\AVPersonal\AVWUPSRV.EXE D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe D:\Programme\HiJackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.toysrus.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ? O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {63ACE1AD-B0B3-43D8-A751-F7D94BAC3F79} - hxxp://www.medionshop.de/ (file missing) (HKCU) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=hxxp://www.toysrus.de/ O16 - DPF: IEToolbarCab - hxxp://www.lesbiantoolbar.com/DailyToolbar.CAB O16 - DPF: {00000000-DDBB-0704-0B53-2C8830E9FAEC} - hxxp://freeload.cc/acxd/ieloader.cab O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - hxxp://63.217.29.115/cax.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - hxxp://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - hxxp://webinstall.tscash.com/webinstall.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095897611500 O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - hxxp://freeload.cc/secure/ieloader.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - hxxp://static.flingstone.com/cab/2000XP/CDTInc/bridge-c2.cab O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - hxxp://www.o2c.de/download/O2CPlayer.CAB O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.serviceurl.de/StarInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{97580C1A-C0C6-4949-BE78-80FE1D322824}: NameServer = 205.188.146.146 Nachdem ich E´scan n paarmal durchlaufen hab lassen. Findet er nichts mehr. Ist der Käse nu runter?  |
|
23.09.2004, 14:22
| #32 |
| | Antivir findet Backdoor BDS/Agent.AY hallo habe das selbe Problem mein Hijack Log:
__________________Logfile of HijackThis v1.98.0 Scan saved at 15:19:51, on 23.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Sicherheit\Antivirus\AVWUPSRV.EXE D:\Programme\Sony\Net MD Simple Burner\NetMDSB.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\soundman.exe D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\Programme\Winamp\winampa.exe D:\Programme\QuickTime\qttask.exe D:\programme\gatinst\trickler_bic_dopewars_3013.exe D:\WINDOWS\System32\vpc32.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe D:\Programme\GetRight\getright.exe D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe D:\Programme\GetRight\getright.exe D:\Programme\Logitech\MouseWare\system\em_exec.exe D:\Programme\Mozilla Firefox\firefox.exe D:\DOKUME~1\#1\LOKALE~1\Temp\Rar$EX00.322\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe, O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Trickler] "d:\programme\gatinst\trickler_bic_dopewars_3013.exe" O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Startup: Check For Dope Wars Updates.lnk = D:\Programme\Dopewars\WiseUpdt.exe O4 - Global Startup: DSLMON.lnk = D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Community\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Community\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1B2F29D8-5EA8-4A9C-A397-ED213EE626C2}: NameServer = 62.27.27.62 62.27.53.66 O17 - HKLM\System\CS1\Services\Tcpip\..\{1B2F29D8-5EA8-4A9C-A397-ED213EE626C2}: NameServer = 62.27.27.62 62.27.53.66 Bitte um Hilfe |
|
23.09.2004, 15:04
| #33 |
| Administrator, a.D.   | Antivir findet Backdoor BDS/Agent.AY Hallo
__________________@ mc-fab-z Dein Problem gestaltet sich anders. Bei dir läuft im Hintergrund ein aktiver Backdoor Rbot.gen mit! Siehe http://www.trojaner-board.de/showpos...90&postcount=7 Der Grund für die Kompromittierung ist, das deine Sicherheitslücken mittels Patches (Windows Update) nicht vor dir geschlossen wurden! Daraus resultiert diese logische Konsequenz: http://www.trojaner-board.de/showpos...96&postcount=9
__________________ |
|
23.09.2004, 20:46
| #34 |
| | Antivir findet Backdoor BDS/Agent.AY Auch bei mir hat heute Antivir BDS/Agent.AY gefunden. Mein Scan: Logfile of HijackThis v1.98.2 Scan saved at 21:40:20, on 23.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\KaZaA Lite\Kazaa.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Palm\HOTSYNC.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\AVWIN.EXE C:\PROGRA~1\MOZILL~1\firefox.exe C:\Dokumente und Einstellungen\-\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hakkinen.net/cgi-bin/yabb/YaBB.cgi R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL (file missing) O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: POPStopperIE.CToolbar - {4B7B69EB-A00F-4FCD-B601-ACCBB86ED528} - C:\Dokumente und Einstellungen\-\Eigene Dateien\Programme\POP-Up Blocker\POP-Stopper-IE.dll (file missing) O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KAZAA] C:\Programme\KaZaA Lite\Kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SPSMOUNTER] E:\VOLLVER\STEGAN~B\START.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [POP-Stopper-IE] "C:\Dokumente und Einstellungen\-\Eigene Dateien\Programme\POP-Up Blocker\POP-Stopper-IE.exe" O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE O4 - Global Startup: CAPI Control.lnk = C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\Office\1031\phdintl.dll/phdContext.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F6} (Flatcast Viewer 4.9) - hxxp://www.1mal1.com/flatcast/NpFv49.dll O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - hxxp://www.1mal1.com/flatcast/NpFv410.dll O16 - DPF: {CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.3.1_04) - O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) - O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) - O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.stardialer.de/StarInstall.ocx Was muss ich machen? Danke schon malim voraus. |
|
23.09.2004, 20:52
| #35 |
| Gast | Antivir findet Backdoor BDS/Agent.AY @H-Money vbmenu_register("postmenu_73378", true); Fixe dies mit HijackThis dies: O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt O16 - DPF: IEToolbarCab - hxxp://www.lesbiantoolbar.com/DailyToolbar.CAB O16 - DPF: {00000000-DDBB-0704-0B53-2C8830E9FAEC} - hxxp://freeload.cc/acxd/ieloader.cab O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - hxxp://63.217.29.115/cax.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - hxxp://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - hxxp://webinstall.tscash.com/webinstall.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.c...b?1095897611500 O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - hxxp://freeload.cc/secure/ieloader.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - hxxp://static.flingstone.com/cab/20...c/bridge-c2.cab O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - hxxp://www.o2c.de/download/O2CPlayer.CAB O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.serviceurl.de/StarInstall.ocx Lösche anschließend diese Dateien, sofern noch vorhanden: C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\Downloaded Program Files\bridge.dll C:\Programme\Gemeinsame Dateien\GMT\GMT.exe |
|
23.09.2004, 22:05
| #36 |
| Gast | Antivir findet Backdoor BDS/Agent.AY @n00b Zuerst solltest du mal www.windowsupdate.com besuchen und alles Patches und Updates installieren. Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083 Anschließend erstelle und poste ein neues Log von HijackThis. |
|
24.09.2004, 08:52
| #37 |
| | Antivir findet Backdoor BDS/Agent.AY @ christian hi...... ich habe auch dieses übeltäter auf dem rechner, da du dich damit anscheinend gut auskennst würde ich mich freuen wenn du mir helfen könntest. ich bin soweit du das erklärst auch vorgegangen, das problem was sich nun zusätzlich stellt ist das, dass nach dem eScan windows zwar noch hochfährt,aber fehlerhaft.(File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed) denke liegt daran. Logfile of HijackThis v1.98.2 Scan saved at 02:32:38, on 24.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Date Manager\DateManager.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Dokumente und Einstellungen\Michel Boller\Eigene Dateien\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hxxp://www.jetseeker.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.jetseeker.com/ie/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = hxxp://www.jetseeker.com/ie/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.jetseeker.com/ie/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.startseite.de/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.unibw-muenchen.de:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 137.193.***.***;217.2.47.***;<local> O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [spp] regedit -s C:\spp.reg O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe.mwt O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - hxxp://install.global-netcom.de/ieloader.cab O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - hxxp://messenger.lycos.de/messenger/client/ActiveXMsgrCore.cab O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - hxxp://acxd.freeload.cc/ieloader.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - hxxp://download.abetterinternet.com/download/cabs/LOT64106/thin.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://software-dl.real.com/10a93a8bc1bb52529e16/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095509831421 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A26E1FB2-F2D2-4BFD-B3F3-5FAFBCECF6C6}: NameServer = 137.193.11.8,137.193.16.24 brauchst du noch was? vielen dank schon mal MFG MICHEL |
|
24.09.2004, 09:18
| #38 |
 | Antivir findet Backdoor BDS/Agent.AY Besorge dir zunächst mal: http://www.cexx.org/lspfix.htm falls nach der Säuberung etwas mit einem Internet nicht klappen sollte, kannst du es damit wieder reparieren. Du hast E-Scan offensichtlich so eingestellt, dass es beim Windowsstart ebenfalls startet? Ist eigentlich nicht nötig. Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html Beende den Prozess per Taskmanager: C:\Programme\Date Manager\DateManager.exe Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): C:\Programme\Date Manager\DateManager.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.jetseeker.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jetseeker.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.jetseeker.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.jetseeker.com/ie/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar O4 - HKLM\..\Run: [spp] regedit -s C:\spp.reg O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' miss O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...T64106/thin.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/10a93a8...RdxIE601_de.cab Boote in den abgesicherten Modus: http://www.trojaner-board.de/63335-w...s-starten.html lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. |
|
24.09.2004, 09:56
| #39 |
| | Antivir findet Backdoor BDS/Agent.AY danke.... bis jetzt soweit so gut. aber wie meinst du das nach dem booten im abgesicherten modus, mit den gezeigeten dateien löschen, das versteh ich nicht ganz. wie und wo*lol* löschen? |
|
24.09.2004, 10:17
| #40 |
| | Antivir findet Backdoor BDS/Agent.AY Die Dateien in den zu fixenden Einträgen, wie beispielsweise: DateManager.exe spp.reg GMT.exe.mwt solltest du suchen und löschen. Sinnvoll wäre außerdem die Verwendung von www.clearprog.de zum Säubern der temporären Ordner. |
|
24.09.2004, 10:39
| #41 |
| | Antivir findet Backdoor BDS/Agent.AY ok....nächste blöde frage.. die spp.reg findet er nicht, die anderen sind gelöscht, waren ja nur noch die beiden anderen oder täusche ich mich da auch?*g* |
|
24.09.2004, 11:29
| #42 |
| Administrator, a.D. | Antivir findet Backdoor BDS/Agent.AY Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Versuche nochmals die Datei zu löschen. |
|
24.09.2004, 12:00
| #43 |
| | Antivir findet Backdoor BDS/Agent.AY so, hab das beim windows explorer auch probiert, findet er trotzdem nicht. hab dann einfach mal wie beschrieben weiter gemacht. ergebnis bei eScan war nur ein fund: File C:\WINDOWS\Coder\_11871-p-1-0-.exe infected by not-a-virus:RiskWare.Dialer.SendMan.g desweiteren: Logfile of HijackThis v1.98.2 Scan saved at 12:48:50, on 24.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\FinePixViewer\QuickDCF.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Michel Boller\Eigene Dateien\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.unibw-muenchen.de:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 137.193.***.***;217.2.47.***;<local> O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe.mwt O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - http://messenger.lycos.de/messenger/...eXMsgrCore.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095509831421 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A26E1FB2-F2D2-4BFD-B3F3-5FAFBCECF6C6}: NameServer = 137.193.11.8,137.193.16.24 wie schauts aus......is das system wieder sauber? |
|
24.09.2004, 14:03
| #44 |
| | Antivir findet Backdoor BDS/Agent.AY Also ich hab seit ein paar wochen auch den Virus drauf. Ich kenne mich leider nicht sehr gut mit dem Computer aus, ich hoffe ihr könnt mir hier weiterhelfen. Das hat hijack gefunden : Logfile of HijackThis v1.98.2 Scan saved at 15:34:37, on 24.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\sstray.exe D:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE E:\PROGRA~1\TEXTBR~1\Bin\INSTAN~1.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe C:\WINNT\system32\internat.exe C:\Programme\MSN Messenger\msnmsgr.exe D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe C:\ScanPanel\ScnPanel.exe E:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - F:\Download\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Download\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing) O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ASUS Probe] D:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Desksite CMA] C:\Programme\desksite\bin\cma.exe O4 - HKLM\..\Run: [InstantAccess] e:\PROGRA~1\TEXTBR~1\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] e:\PROGRA~1\TEXTBR~1\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\RunServices: [RegisterDropHandler] e:\PROGRA~1\TEXTBR~1\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Babylon Translator] E:\Programme\Babylon Translator\Babylon.exe O4 - HKCU\..\Run: [WindowBlinds] F:\Download\Programme\winblind\2\wbload.exe auto O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: SATARaid.lnk = C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing) O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - F:\DOWNLOAD\AIM\aim.exe O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-libremp3-de\local.html (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialer...ecomendada.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/p...LER_loader.exe Geändert von Kleene (24.09.2004 um 14:37 Uhr) |
|
24.09.2004, 15:13
| #45 |
| | Antivir findet Backdoor BDS/Agent.AY Hallo linus1981, überprüfe diesen Przozess mit dem Online-Scan von Kaspersky: C:\Programme\FinePixViewer\QuickDCF.exe Teile uns bitte das Ergebnis der Überprüfung mit. Wenn Du diese Einträge nicht kennst/brauchst, fixe sie bitte im abgesicherten Modus mit Hijack This: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 137.193.***.***;217.2.47.***;<local> O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O8 - auf Anraten von *Christian* gelöscht - O9 - auf Anraten von *Christian* gelöscht - Erstelle ein neues Logfile mit Hijack This und poste es. Gruss Shadowdance [edit] danke *Christian* [/edit] Geändert von Shadowdance (24.09.2004 um 16:02 Uhr) |
|
| Themen zu Antivir findet Backdoor BDS/Agent.AY |
| angezeigt, antivir, backdoor, befinden, dateien, direkt, erhalte, frage, gelöschten, gemeinsame, hallo zusammen, interne, internet, komplett, löschen, meldungen, nichts, ordner, sauber, schließe, system, versucht, weiterhelfen, wichtig, zusammen |
Linear-Darstellung
