|
Plagegeister aller Art und deren Bekämpfung: Antivir findet Backdoor BDS/Agent.AYWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.09.2004, 10:08 | #1 |
| Antivir findet Backdoor BDS/Agent.AY Hallo zusammen, ich erhalte seit ca. 2-3 Tagen durch Antivir Meldungen zu oben genannter Backdoor. Ich lösche die entsprechenden Dateien immer, anschließend findet der Viren-Scanner nichts mehr. Spätestens am nächsten Tag erhalte ich jedoch wieder eine Meldung. Da ich derzeit meine Diplom-Arbeit schreibe und kurz vor der Abgabe stehe, möchte ich ungern aufgrund des Zeitverlustes das System komplett neuaufsetzten. Meine Frage ist nun, kann die Backdoor (über die ich leider im Internet und nicht einmal bei Antivir selbst etwas finden konnte) Schaden anrichten? Ich wähle mich nicht direkt ins Internet ein, sondern gehe aufgrund einer geteilten DSL-Flat-Verbindung über einen Linux-Router ins Internet. Ich vermute, dass sich die Backdoor versucht bei mir einzuklinken, da das System nach dem Löschen der Dateien ja als sauber angezeigt wird. Kommen die Antivir-Meldungen nur zum Zeitpunkt des "Angriffs"? Die entsprechenden befallenen Dateien befinden sich immer in demselben Ordner (in den gemeinsamen Dateien). Die gelöschten Dateien sind exe-files. In den beiden betroffenen Ordnern verbleiben eine LPF und eine BBR Datei. Hilft es die entsprechenden Ordner zu löschen - und darf ich diese Ordner löschen oder sind die wichtig fürs System? Ich hoffe Ihr könnt mir weiterhelfen, Eure verzweifelte Katinka |
08.09.2004, 10:29 | #2 |
| Antivir findet Backdoor BDS/Agent.AY Hi Katinka,
__________________wie heisst der Ordner genau? Erstelle ein Log mit HJT und poste es: http://www.trojaner-board.de/51130-a...ijackthis.html Besorge dir E-Scan, update es und lass es im abgesicherten Modus laufen wie beschrieben: http://www.trojaner-board.de/42731-escan-anleitung.html |
08.09.2004, 10:40 | #3 |
| Antivir findet Backdoor BDS/Agent.AY Hallo Mountainking,
__________________vielen Dank für die schnelle Antwort, der Ordner/Pfad heißt: C:\Programme\Gemeinsame Dateien\clanejlp Darin befinden sich zwei Unterordner: 1. crtrbhhfdl mit der Datei anrlrrllnb.lrf 2. ejlrppcb mit der Datei pbrnrjlhp.bbr Kann ich die empfohlenen Scans trotz istallierter Antivir-Version laufen lassen oder behindern die sich gegenseitig? (Ich hab mir schon mal ein System zerschossen, weil ich einen Virenscanner installiert habe und noch Signaturen einer zuvor installierten Testversion eines anderen Programms vorhanden waren....) Antivir zeigt mein System gerade wieder mal als Virenfrei an - fragt sich nur wie lange. Sind die empfohlenen Programme effektiver? Oder muss ich warten, bis ich das nächste mal eine entsprechende Warnung bekomme? Katinka |
08.09.2004, 10:48 | #4 |
| Antivir findet Backdoor BDS/Agent.AY Nein, die Programme kannst du ohne Bedenken verwenden, Hijackthis ist kein virenscanner, sondern analysiert das System, durch das Log bekommt man einiges heraus, da ich ja auch nicht an deinem Rechner sitze, brauche ich jede Information. E-Scan ist zwar ein Virenscanner, der wird aber nicht installiert und hat keinen Hintergrundwächter, beißt sich daher auch nicht mit Antivir. Du musst es nur wie beschrieben in diesen Ordner c:\bases entpacken, damit du updaten kannst und dann im abgesicherten Modus durchlaufen lassen. E-Scan verwendet die Engine und Virensignaturen von Kaspersky, das ist eigentlich einer der besten Virenscanner (systembedingte Schwächen haben sie alle). Der Ordner sieht wie ein zufällig erstellter aus, mir gefällt das alles nicht so richtig, eventuell hat ja schon jemand Zugriff auf deinen PC, ich weiss ja auch nicht, wie euer Router konfiguriert ist, eigentlich sollte das da schon erschwert sein. Naja, mach einfach mal die beiden Sachen, dann sehen wir weiter. |
08.09.2004, 13:43 | #5 |
| Antivir findet Backdoor BDS/Agent.AY So, jetzt geht´s weiter ... (musst zwischendrin kurz in die Uni) 1. Kurze Frage vorab: welche Angaben benötigst Du aus der Log-Datei von E-Scan? Muss ich alle Einträge inklusive der Auflistung der gescannten Dateien hier einstellen? Oder reichen die folgenden Daten: *** Wed Sep 08 14:24:07 2004 => Total Number of Files Scanned: 67459 Wed Sep 08 14:24:07 2004 => Total Number of Virus(es) Found: 24 Wed Sep 08 14:24:07 2004 => Total Number of Disinfected Files: 0 Wed Sep 08 14:24:07 2004 => Total Number of Files Renamed: 7 Wed Sep 08 14:24:07 2004 => Total Number of Deleted Files: 1 Wed Sep 08 14:24:07 2004 => Total Number of Errors: 11 Wed Sep 08 14:24:07 2004 => Time Elapsed: 01:35:23 Wed Sep 08 14:24:07 2004 => Virus Database Date: 2004/09/08 Wed Sep 08 14:24:07 2004 => Virus Database Count: 103474 Wed Sep 08 14:24:07 2004 => Scan Completed. *** Oder benötigst Du auch die Auflistung der auffälligen Dateien? 2. Hier die vollständige Log-Datei von Hijackthis: Logfile of HijackThis v1.98.2 Scan saved at 11:55:20, on 08.09.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\Antivir\AVGUARD.EXE D:\Antivir\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSEC.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\iTunes\iTunesHelper.exe D:\Antivir\AVGNT.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Backdoor\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.autounique.de/clix/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - hxxp://www.academynow.com/_courses/bitmedia/webplayer/awswax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A3840A4D-6C29-4ACF-99C4-453AE6DE5F67}: NameServer = 192.168.0.32 O17 - HKLM\System\CCS\Services\Tcpip\..\{E698C880-40E9-46F7-8CC4-FE069EF90106}: NameServer = 145.253.2.11,145.253.2.75 Gruß Katinka |
08.09.2004, 14:31 | #6 |
| Antivir findet Backdoor BDS/Agent.AY Nein, du musst nicht alles aufzählen, neben der von dir geposteten Statistik brauche ich aber unbedingt noch die Namen Schädlinge, die in den 24 Dateien entdeckt wurden. Also in erster Linie nicht die Namen der Dateien sondern den des Schädlings (Virus X wurde in Datei Y gefunden, ich brauche X), oder gleich beides. Wobei mir es nicht gefällt, das er von 24 Datein nur 7 umbenannt und 2 gelöscht hat. GetRight enthält Adware, nämlich Gator, wenn du die Einträge fixst, kann es sein, dass GetRight nicht mehr geht (aber ich glaube, das ging trotzdem noch), Leechget wäre eine bessere Alternative. Beende die prozesse mit dem Taskmanager: GMT.exe CMESys.exe Fixe mit HJT (Häkchen und fix checked): C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: SEARCH_PAGE_URL= Umtieg auf sichereren Browser wie firefox, Mozilla oder opera empfehle ich schon mal präventiv. |
08.09.2004, 14:52 | #7 |
| Antivir findet Backdoor BDS/Agent.AY Ich hab auf einer meiner Festplatten eine Sicherung von Teilen meines alten Systems. Die darin enthaltenen Programme sind also gar nicht wirklich installiert. Getright z.B. ist auch ein Überbleibsel meines alten Systems. Zu den verwendeten Browsern: ich nutze schon seit Jahren keinen IE mehr, meine Standardbrowser sind Opera und Mozilla Firefox. Den IE nutze ich nur in ganz seltenen Fällen, wenn Seiten sich anders nicht vernünftig darstellen lassen. Hier nun also die Liste der Viren und der erfolgten oder nichterfolgten Aktionen: (Die in der folgenden Auflistung kursiv gesetzten Einträge stammen aus dem Sicherungsbereich) vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken. Opera\Mail\storage\mbox51.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken. Opera\Mail\storage\mbox56.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken. Opera\Mail\storage\mbox60.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken. Opera\Mail\storage\mbox65.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken. Sicherung\Tools, Programme, Treiber\Browser\Opera 402\opera & getright\getrt42c.exe infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: File Renamed. Sicherung\Tools, Programme, Treiber\Browser\Opera 402\opera & getright\op2gr120.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sicherung\MS-Office\THUMBS3\CRACK-IT.EXE tagged as not-a-virus:LogoPicture.PH13. No Action Taken. Sicherung\Tools, Programme, Treiber\MS-Office\THUMBS3\DONOTRUN.EXE tagged as not-a-virus:LogoPicture.PH13. No Action Taken. Sicherung\Tools, Programme, Treiber\napster & co\napv2b9-6.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sicherung\Tools, Programme, Treiber\napster & co\AGSetup0606.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sicherung\Tools, Programme, Treiber\Wartung\TuneUp\TUSetup710.zip..zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sicherung\Tools, Programme, Treiber\Wartung\Tune up 97\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. \Sicherung\WINDOWS\Programme\WildTangent\Components\SystemConfig0100.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\Programme\WildTangent\Apps\wtKernel0100.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\Program Files\onflow\uninstall onflow.exe infected by "not-a-virus:AdvWare.OnFlow" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\WINDOWS\sp.dll infected by "Trojan.WinREG.StartPage" Virus. Action Taken: File Deleted. Sicherung\WINDOWS\WINDOWS\wt\wtbgm\wtbgmtt.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\WINDOWS\wt\wtupdates\wtbgm\files\1.5.0.134\wtbgmtt.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\WINDOWS\TEMP\TNT.Fine.Reader.5.0.pro.PATCH.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken. Sicherung\WINDOWS\WINDOWS\TEMP\cd_Install_2022.exe infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\WINDOWS\TEMP\TNT-Fine.Reader.5.0.293_CRK.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken. Sicherung\WINDOWS\WINDOWS\TEMP\install\Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sicherung\WINDOWS\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken. Das meiste davon sind wohl tatsächlich Altlasten. Gruß Katinka Kleiner Nachtrag: Ich habe gerade nachgesehen, die beiden genannten Prozesse scheinen laut Taskmanager nicht im Hintergrund zu laufen. |
08.09.2004, 15:11 | #8 |
| Antivir findet Backdoor BDS/Agent.AY Naja, Getright hast du aber offensichtlich doch installiert. Hast du die Einträge gefixed? Erstelle bitte mal ein neues Logfile. Da es sich ja in erster Linie um alte Dateien bzw. auch da meist "nur" um Adware handelte, kann zumindest ich anhand des letzten Logs eigentlich nichts erkennen, was auf eine Backdoor hindeutet. Ist denn dieser Ordner, in dem die Antivir Schädlinge vermutet, noch da? |
08.09.2004, 15:27 | #9 |
| Antivir findet Backdoor BDS/Agent.AY OK, hast recht! Getright ist natürlich installiert - habe ich nur schon so lange nicht mehr verwendet. ;-) Also von den zu fixenden Einträgen waren grad nur noch die letzten drei in der Liste, diese habe ich jetzt gefixed. Das neue Log-File sieht folgendermaßen aus: *** Logfile of HijackThis v1.98.2 Scan saved at 16:24:45, on 08.09.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\Antivir\AVGUARD.EXE D:\Antivir\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSEC.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\iTunes\iTunesHelper.exe D:\Antivir\AVGNT.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Backdoor\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.autounique.de/clix/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - hxxp://www.academynow.com/_courses/bitmedia/webplayer/awswax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A3840A4D-6C29-4ACF-99C4-453AE6DE5F67}: NameServer = 192.168.0.32 O17 - HKLM\System\CCS\Services\Tcpip\..\{E698C880-40E9-46F7-8CC4-FE069EF90106}: NameServer = 145.253.2.11,145.253.2.75 *** Katinka P.S.: der Ordner, indem die infizierten Dateien laut Antivir immer auftauchen ist noch vorhanden. Soll ich den wohl einfach mal löschen? |
10.09.2004, 17:00 | #10 |
| Antivir findet Backdoor BDS/Agent.AY Ich hab seit gestern genau dasselbe Problem mit dem BDS/Agent.AY ich hab versucht das Backdoor teil mit Antivir zu löschen aber leider ist es immer wieder gekommen dann hab ichs mal im Abgesicherten Modus versucht doch leider kommt die meldung nach dem booten immer wieder. Ich werd jetzt mal versuchen die Festplatte von nem anderen PC zu scannen der nicht infiziert ist, hab gehört so könnt ich das löschen oder gibts ne andere Lösung?? Wie siehts bei dir aus Katinka hast du es wegbekommen? |
10.09.2004, 23:33 | #11 |
| Antivir findet Backdoor BDS/Agent.AY Hallo Katinka, - fixe bitte noch im abgesicherten Modus mit Hijack This: O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= - beende im Taskmanager diesen Prozess: realsched.exe - [edit] besuche bitte www.windowsupdate.com, um Deinen IE zu updaten und das neue Service Pack runterzuladen. Es ist beides nicht auf dem aktuellen Stand. [/edit] ------------------------------ @ p-walker - lade Dir bitte den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Anleitung im Thread: Thread-6083 - teile uns dann bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien umbenannt - es sieht folgendermaßen aus: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: =>Total Number of Disinfected Files: =>Total Number of Files Renamed: =>Total Number of Deleted Files: =>Total Number of Errors: - erstelle danach bitte ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es (copy&paste) hier. SD Geändert von Shadowdance (10.09.2004 um 23:43 Uhr) |
11.09.2004, 13:49 | #12 |
| Antivir findet Backdoor BDS/Agent.AY Ja hat sich eh erledigt, wie oben gesagt hab ich meine Festplatte ausgebaut und an nen anderen PC angeschlossen. Von dem hab ich dann wieder mit Antivir meine Festplatte gescannt nur komsicherweise hat Antivir nix gefunden obwohl der Ordner immernoch da war... Naja mein Vater hat dann ein bisschen das Gehäuse verschoben um was anzuschließen, dabei gabs wohl nen Kurzschluss und fertig. Der PC ging nimmer an. Dann ab ich die Festplatte halt abgemacht und wieder an meinen PC angeschlossen und Peng mein Netzteil ist auch im Arsch Also ich fasse zusammen: Die Festplatten von meinem Vater sind kaputt, meine Festplatte is futsch und mein Netzteil hats auch abbekommen. Ich sags euch beim nächsten mal gibts nur noch eins: Format C Mal schaun ich hab jetzt ne Router Firewall, Antivir, Zonealarm und escan und Hijack lad ich mir glaub ich auch noch runter. Ich finde es ein bisschen blöd das ihr einem nur helfen könnt wenn man escan oder Hijack hat aber anscheinend sind die tool ja ziemlich gut. Also bis dann p-walker |
11.09.2004, 14:24 | #13 |
| Antivir findet Backdoor BDS/Agent.AY "Ich finde es ein bisschen blöd das ihr einem nur helfen könnt wenn man escan oder Hijack hat aber anscheinend sind die tool ja ziemlich gut." Ich habe ja oben schon geschrieben, wozu wir die Programme brauchen, da wir nicht an deinem rechenr sitzen, ist JEDE Information nützlich, vor allem, wenn es um wneiger bekannte oder neue Schädlinge geht. Es nützt ja nicht viel, wenn du den einen löschst und dabei noch 5 weitere auf deinem System laufen, die man im HJT-Log sehen könnte, deswegen sind das Standardempfehlungen. Das mit der Hardware ist natürlich ziemlich ärgerlich. Aber gleich für die Zukunft: es ist nicht eine Masse von programmen, die die Sicherheit erhöhen, sondern grundlegende Maßnahmen, wenn du dann neu installierst auf der neuen HD, gleich umsetzen: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen Und Lektüre: http://www.mathematik.uni-marburg.de...ompromise.html http://www.mathematik.uni-marburg.de...c-removal.html http://faq.underflow.de/ |
12.09.2004, 18:31 | #14 |
| Antivir findet Backdoor BDS/Agent.AY Hi, auch mich nervt dieser BDS/Agent.AY. Komischer weiße ist meine Internetverbindung so langsam geworden und mein Ping bei Onlinegames ist auch enorm gestiegen. Hängt dieses mit dem BDS/Agent.AY zusammen? Zwar kommt keine Nachricht mehr von Anti Vir nach dem ich eScan im abgesichertem Modus ausgeführt habe, aber die Internetverbindung bleibt so langsam. MfG franky |
12.09.2004, 19:21 | #15 |
Gast | Antivir findet Backdoor BDS/Agent.AY Poste bitte einmal ein HijackThis-Log: http://filepony.de/download-hijackthis/ |
Themen zu Antivir findet Backdoor BDS/Agent.AY |
angezeigt, antivir, backdoor, befinden, dateien, direkt, erhalte, frage, gelöschten, gemeinsame, hallo zusammen, interne, internet, komplett, löschen, meldungen, nichts, ordner, sauber, schließe, system, versucht, weiterhelfen, wichtig, zusammen |