Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Antivir findet Backdoor BDS/Agent.AY

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 23.09.2004, 12:12   #31
H-Money
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



Ich gehe über T-DSL und AOL ins Internet. Fastpath hab ich auch.

Neue Logfile im nicht-geschützen Mod.

Logfile of HijackThis v1.98.2
Scan saved at 13:06:52, on 23.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\DitExp.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
D:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.toysrus.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {63ACE1AD-B0B3-43D8-A751-F7D94BAC3F79} - hxxp://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.toysrus.de/
O16 - DPF: IEToolbarCab - hxxp://www.lesbiantoolbar.com/DailyToolbar.CAB
O16 - DPF: {00000000-DDBB-0704-0B53-2C8830E9FAEC} - hxxp://freeload.cc/acxd/ieloader.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - hxxp://63.217.29.115/cax.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - hxxp://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - hxxp://webinstall.tscash.com/webinstall.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095897611500
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - hxxp://freeload.cc/secure/ieloader.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - hxxp://static.flingstone.com/cab/2000XP/CDTInc/bridge-c2.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - hxxp://www.o2c.de/download/O2CPlayer.CAB
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{97580C1A-C0C6-4949-BE78-80FE1D322824}: NameServer = 205.188.146.146



Nachdem ich E´scan n paarmal durchlaufen hab lassen. Findet er nichts mehr. Ist der Käse nu runter?

Alt 23.09.2004, 14:22   #32
mc-fab-z
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



hallo habe das selbe Problem mein Hijack Log:
Logfile of HijackThis v1.98.0
Scan saved at 15:19:51, on 23.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Sicherheit\Antivirus\AVWUPSRV.EXE
D:\Programme\Sony\Net MD Simple Burner\NetMDSB.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\soundman.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\QuickTime\qttask.exe
D:\programme\gatinst\trickler_bic_dopewars_3013.exe
D:\WINDOWS\System32\vpc32.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
D:\Programme\GetRight\getright.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\GetRight\getright.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\DOKUME~1\#1\LOKALE~1\Temp\Rar$EX00.322\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Trickler] "d:\programme\gatinst\trickler_bic_dopewars_3013.exe"
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Startup: Check For Dope Wars Updates.lnk = D:\Programme\Dopewars\WiseUpdt.exe
O4 - Global Startup: DSLMON.lnk = D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Community\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Community\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B2F29D8-5EA8-4A9C-A397-ED213EE626C2}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B2F29D8-5EA8-4A9C-A397-ED213EE626C2}: NameServer = 62.27.27.62 62.27.53.66

Bitte um Hilfe
__________________


Alt 23.09.2004, 15:04   #33
Cidre
Administrator, a.D.
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



Hallo
@ mc-fab-z

Dein Problem gestaltet sich anders.
Bei dir läuft im Hintergrund ein aktiver Backdoor Rbot.gen mit!
Siehe http://www.trojaner-board.de/showpos...90&postcount=7

Der Grund für die Kompromittierung ist, das deine Sicherheitslücken mittels Patches (Windows Update) nicht vor dir geschlossen wurden!

Daraus resultiert diese logische Konsequenz:
http://www.trojaner-board.de/showpos...96&postcount=9
__________________
__________________

Alt 23.09.2004, 20:46   #34
n00b
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



Auch bei mir hat heute Antivir BDS/Agent.AY gefunden.
Mein Scan:
Logfile of HijackThis v1.98.2
Scan saved at 21:40:20, on 23.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\KaZaA Lite\Kazaa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Palm\HOTSYNC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\-\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hakkinen.net/cgi-bin/yabb/YaBB.cgi
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL (file missing)
O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: POPStopperIE.CToolbar - {4B7B69EB-A00F-4FCD-B601-ACCBB86ED528} - C:\Dokumente und Einstellungen\-\Eigene Dateien\Programme\POP-Up Blocker\POP-Stopper-IE.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAZAA] C:\Programme\KaZaA Lite\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SPSMOUNTER] E:\VOLLVER\STEGAN~B\START.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [POP-Stopper-IE] "C:\Dokumente und Einstellungen\-\Eigene Dateien\Programme\POP-Up Blocker\POP-Stopper-IE.exe"
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: CAPI Control.lnk = C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F6} (Flatcast Viewer 4.9) - hxxp://www.1mal1.com/flatcast/NpFv49.dll
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - hxxp://www.1mal1.com/flatcast/NpFv410.dll
O16 - DPF: {CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.3.1_04) -
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.stardialer.de/StarInstall.ocx


Was muss ich machen?
Danke schon malim voraus.

Alt 23.09.2004, 20:52   #35
*Christian*
Gast
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



@H-Money vbmenu_register("postmenu_73378", true);

Fixe dies mit HijackThis dies:

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - Global Startup: GStartup.lnk =
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt
O16 - DPF: IEToolbarCab - hxxp://www.lesbiantoolbar.com/DailyToolbar.CAB
O16 - DPF: {00000000-DDBB-0704-0B53-2C8830E9FAEC} - hxxp://freeload.cc/acxd/ieloader.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - hxxp://63.217.29.115/cax.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - hxxp://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - hxxp://webinstall.tscash.com/webinstall.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.c...b?1095897611500
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - hxxp://freeload.cc/secure/ieloader.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - hxxp://static.flingstone.com/cab/20...c/bridge-c2.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - hxxp://www.o2c.de/download/O2CPlayer.CAB
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.serviceurl.de/StarInstall.ocx


Lösche anschließend diese Dateien, sofern noch vorhanden:

C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\Downloaded Program Files\bridge.dll
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe


Alt 23.09.2004, 22:05   #36
*Christian*
Gast
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



@n00b

Zuerst solltest du mal www.windowsupdate.com besuchen und alles Patches und Updates installieren.

Scanne mal mit eScan im abgesicherten Modus:
http://www.trojaner-board.de/showthread.php?t=6083

Anschließend erstelle und poste ein neues Log von HijackThis.

Alt 24.09.2004, 08:52   #37
linus1981
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



@ christian
hi......

ich habe auch dieses übeltäter auf dem rechner, da du dich damit anscheinend gut auskennst würde ich mich freuen wenn du mir helfen könntest.

ich bin soweit du das erklärst auch vorgegangen, das problem was sich nun zusätzlich stellt ist das, dass nach dem eScan windows zwar noch hochfährt,aber fehlerhaft.(File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed) denke liegt daran.

Logfile of HijackThis v1.98.2
Scan saved at 02:32:38, on 24.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Date Manager\DateManager.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Dokumente und Einstellungen\Michel Boller\Eigene Dateien\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hxxp://www.jetseeker.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.jetseeker.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = hxxp://www.jetseeker.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.jetseeker.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.unibw-muenchen.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 137.193.***.***;217.2.47.***;<local>
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [spp] regedit -s C:\spp.reg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe.mwt
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - hxxp://install.global-netcom.de/ieloader.cab
O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - hxxp://messenger.lycos.de/messenger/client/ActiveXMsgrCore.cab
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - hxxp://acxd.freeload.cc/ieloader.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - hxxp://download.abetterinternet.com/download/cabs/LOT64106/thin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://software-dl.real.com/10a93a8bc1bb52529e16/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095509831421
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A26E1FB2-F2D2-4BFD-B3F3-5FAFBCECF6C6}: NameServer = 137.193.11.8,137.193.16.24

brauchst du noch was?
vielen dank schon mal

MFG MICHEL

Alt 24.09.2004, 09:18   #38
MountainKing
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



Besorge dir zunächst mal:

http://www.cexx.org/lspfix.htm

falls nach der Säuberung etwas mit einem Internet nicht klappen sollte, kannst du es damit wieder reparieren.

Du hast E-Scan offensichtlich so eingestellt, dass es beim Windowsstart ebenfalls startet? Ist eigentlich nicht nötig.

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

Beende den Prozess per Taskmanager:

C:\Programme\Date Manager\DateManager.exe

Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

C:\Programme\Date Manager\DateManager.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.jetseeker.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jetseeker.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.jetseeker.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.jetseeker.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O4 - HKLM\..\Run: [spp] regedit -s C:\spp.reg
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' miss
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...T64106/thin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/10a93a8...RdxIE601_de.cab


Boote in den abgesicherten Modus:

http://www.trojaner-board.de/63335-w...s-starten.html

lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

Alt 24.09.2004, 09:56   #39
linus1981
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



danke....

bis jetzt soweit so gut. aber wie meinst du das nach dem booten im abgesicherten modus, mit den gezeigeten dateien löschen, das versteh ich nicht ganz. wie und wo*lol* löschen?

Alt 24.09.2004, 10:17   #40
MountainKing
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



Die Dateien in den zu fixenden Einträgen, wie beispielsweise:

DateManager.exe
spp.reg
GMT.exe.mwt

solltest du suchen und löschen. Sinnvoll wäre außerdem die Verwendung von www.clearprog.de zum Säubern der temporären Ordner.

Alt 24.09.2004, 10:39   #41
linus1981
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



ok....nächste blöde frage..

die spp.reg findet er nicht, die anderen sind gelöscht, waren ja nur noch die beiden anderen oder täusche ich mich da auch?*g*

Alt 24.09.2004, 11:29   #42
Cidre
Administrator, a.D.
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Versuche nochmals die Datei zu löschen.
__________________
Gruß, Cidre


Alt 24.09.2004, 12:00   #43
linus1981
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



so, hab das beim windows explorer auch probiert, findet er trotzdem nicht.

hab dann einfach mal wie beschrieben weiter gemacht. ergebnis bei eScan war nur ein fund:
File C:\WINDOWS\Coder\_11871-p-1-0-.exe infected by not-a-virus:RiskWare.Dialer.SendMan.g

desweiteren:

Logfile of HijackThis v1.98.2
Scan saved at 12:48:50, on 24.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Michel Boller\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.unibw-muenchen.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 137.193.***.***;217.2.47.***;<local>
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe.mwt
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - http://messenger.lycos.de/messenger/...eXMsgrCore.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095509831421
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A26E1FB2-F2D2-4BFD-B3F3-5FAFBCECF6C6}: NameServer = 137.193.11.8,137.193.16.24

wie schauts aus......is das system wieder sauber?

Alt 24.09.2004, 14:03   #44
Kleene
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



Also ich hab seit ein paar wochen auch den Virus drauf. Ich kenne mich leider nicht sehr gut mit dem Computer aus, ich hoffe ihr könnt mir hier weiterhelfen.
Das hat hijack gefunden :

Logfile of HijackThis v1.98.2
Scan saved at 15:34:37, on 24.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sstray.exe
D:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\PROGRA~1\TEXTBR~1\Bin\INSTAN~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\ScanPanel\ScnPanel.exe
E:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - F:\Download\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Download\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing)
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] D:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Desksite CMA] C:\Programme\desksite\bin\cma.exe
O4 - HKLM\..\Run: [InstantAccess] e:\PROGRA~1\TEXTBR~1\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] e:\PROGRA~1\TEXTBR~1\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] e:\PROGRA~1\TEXTBR~1\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Babylon Translator] E:\Programme\Babylon Translator\Babylon.exe
O4 - HKCU\..\Run: [WindowBlinds] F:\Download\Programme\winblind\2\wbload.exe auto
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: SATARaid.lnk = C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - F:\DOWNLOAD\AIM\aim.exe
O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-libremp3-de\local.html (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialer...ecomendada.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/p...LER_loader.exe

Geändert von Kleene (24.09.2004 um 14:37 Uhr)

Alt 24.09.2004, 15:13   #45
Shadowdance
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



Hallo linus1981,

überprüfe diesen Przozess mit dem Online-Scan von Kaspersky:

C:\Programme\FinePixViewer\QuickDCF.exe

Teile uns bitte das Ergebnis der Überprüfung mit.

Wenn Du diese Einträge nicht kennst/brauchst, fixe sie bitte im abgesicherten Modus mit Hijack This:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 137.193.***.***;217.2.47.***;<local>
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O8 - auf Anraten von *Christian* gelöscht -
O9 - auf Anraten von *Christian* gelöscht -

Erstelle ein neues Logfile mit Hijack This und poste es.

Gruss
Shadowdance

[edit] danke *Christian* [/edit]

Geändert von Shadowdance (24.09.2004 um 16:02 Uhr)

Thema geschlossen

Themen zu Antivir findet Backdoor BDS/Agent.AY
angezeigt, antivir, backdoor, befinden, dateien, direkt, erhalte, frage, gelöschten, gemeinsame, hallo zusammen, interne, internet, komplett, löschen, meldungen, nichts, ordner, sauber, schließe, system, versucht, weiterhelfen, wichtig, zusammen




Ähnliche Themen: Antivir findet Backdoor BDS/Agent.AY


  1. Malwarebytes findet 1 infizierte Datei (Backdoor.Agent.Fpa)
    Plagegeister aller Art und deren Bekämpfung - 12.12.2013 (14)
  2. Antivir findet TR/Agent.16384.501 was nun
    Plagegeister aller Art und deren Bekämpfung - 25.11.2013 (9)
  3. Antivir findet ADWARE/Agent.Gaba.peg und TR/Agent.370144
    Log-Analyse und Auswertung - 09.07.2012 (5)
  4. AntiVir findet JAVA/Dldr.Agent
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (25)
  5. Antivir findet drop.agent.bsbe
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (8)
  6. Antivir findet WORM/Agent.XO
    Plagegeister aller Art und deren Bekämpfung - 30.01.2010 (2)
  7. Antivir findet den Virus 'BDS/Bredavi.azt' [backdoor]
    Plagegeister aller Art und deren Bekämpfung - 26.11.2009 (1)
  8. Antivir findet ADSPY/Agent.owh
    Plagegeister aller Art und deren Bekämpfung - 30.07.2009 (34)
  9. Antivir findet Backdoor und Trojaner in System Volume Information Ordnern
    Log-Analyse und Auswertung - 25.03.2009 (0)
  10. AntiVir findet BDS/Agent.ajs
    Log-Analyse und Auswertung - 13.01.2007 (7)
  11. Mein Antivir findet BDS/Agent.AY - Mein Antivir findet BDS/Agent.AY ???
    Plagegeister aller Art und deren Bekämpfung - 08.12.2005 (14)
  12. AntiVir findet BDS/Agent.AY
    Log-Analyse und Auswertung - 17.11.2005 (4)
  13. HILFE Antivir findet Backdoor BDS/Agent.AY
    Plagegeister aller Art und deren Bekämpfung - 24.05.2005 (3)
  14. antivir findet den BDS/AGENT.AY
    Plagegeister aller Art und deren Bekämpfung - 27.04.2005 (11)
  15. Antivir findet Backdoor BDS/Agent.AY
    Log-Analyse und Auswertung - 22.02.2005 (9)
  16. Antivir findet Backdoor BDS/Agent.AY
    Plagegeister aller Art und deren Bekämpfung - 09.01.2005 (10)
  17. Antivir findet BDS/Agent.EK
    Plagegeister aller Art und deren Bekämpfung - 18.12.2004 (2)

Zum Thema Antivir findet Backdoor BDS/Agent.AY - Ich gehe über T-DSL und AOL ins Internet. Fastpath hab ich auch. Neue Logfile im nicht-geschützen Mod. Logfile of HijackThis v1.98.2 Scan saved at 13:06:52, on 23.09.2004 Platform: Windows XP - Antivir findet Backdoor BDS/Agent.AY...
Archiv
Du betrachtest: Antivir findet Backdoor BDS/Agent.AY auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.