Hi!


Habe auch diesen coolen Virus oder was es auch sein mag:
BDS/Agent.AY


Hab direkt malnen Log von HijackThis mitgeschcikt

Logfile of HijackThis v1.98.2
Scan saved at 15:25:06, on 16.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Steam\Steam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\glied1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O2 - BHO: VCS3IESupport Class - {B9D6B3C2-09AD-464A-8162-8C55114C808A} - C:\Programme\AV VCS 3.0\Vcs3RT.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar15.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Snip Dies! - {C3881663-B3FA-49F4-BA57-183B02F47280} - res://snipit.dll/101 (file missing)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/inst...l/pinstall.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {A20B1BB0-AC3D-4530-85F3-791B81303190} (ICQDevilImg Control) - http://xtraz.icq.com/xtraz/products/...CQDevilImg.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f007.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?319
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BC47136-2B8B-42F6-80A4-0F777E3C0ED9}: NameServer = 217.237.151.225 217.237.150.225
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll




Wie gehe ich nun am besten vor?



HAbe im abgesicherten Modus sämtlich antivir, spybots usw geprüft.. gefunden wurde viel gelöscht dann auch , aber nicht DER



sooo nachdem ich noch nen bisslwa sgemacht habe , ist das einzige Problem:

KEINE up/download bei filesharing programmen ...

ciao

Hallo glied,

- besuche bitte www.windowsupdate.com. Lade Dir dort das neue Service-Pack runter. Deine Version des IE ist veraltet. Wie Du den IE sicher konfigurieren kannst, um ihn für die windows-updates zu verwenden, erfährst Du hier. Besser wäre ein Browserwechsel.

- auf Deinem System läuft ein unbekannter Prozess. Überprüfe ihn mit dem Online-Scan von Kaspersky:

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 9.exe

- beende im Taskmanager diesen Prozess:

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

- fixe bitte folgende Einträge mit Hijack This im abgesicherten Modus und die mit (*) gekennzeichneten Einträge, wenn Du sie nicht kennst/brauchst, bitte gleichfalls fixen:

(*) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/

O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar15.dll

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"

O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

(*) O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O9 - Extra button: Snip Dies! - {C3881663-B3FA-49F4-BA57-183B02F47280} - res://snipit.dll/101 (file missing)

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/ins...ll/pinstall.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f007.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?319
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

(*) O17 - HKLM\System\CCS\Services\Tcpip\..\{4BC47136-2B8B-42F6-80A4-0F777E3C0ED9}: NameServer = 217.237.151.225 217.237.150.225

- führe den eScan auf Deinem System durch. Lade ihn Dir - entsprechend der Anleitung im Thread - runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus: Thread-6083

- teile uns dann das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:

- erstelle ein neues Logfile mit Hijack This und poste es.

Wie Du sicher im Netz surfen kannst, erfährst Du auf den Seiten, die in meiner Signatur unter TI Hijacker-Rubrik verlinkt sind ---> Vorbeugung u.a.m.

SD

Moin,

Is jetzt vielleicht etwas spät, aber ich hab auch grad AntiVir durchlaufen lassen und bei mir wurde ebenfalls BDS/Agent.AY Virus entdeckt.
Nun wurde vor 3 Tagen nen Spiele-Account von mir und mein eMail-Konto gehackt.
Könnte dort irgendein Zusammenhang bestehen? Oder hat die Person mein Password durch irgendwelche Tools eventuell herausbekommen?

@ SaiNt

Möglicherweise besteht ein Zusammenhang oder AntiVir erkennt eventuell weitere Malware nicht, die sich auf dein System befindet.
Der Backdoor Agent.AY ist nur ein Vorreiter und lädt weitere Malware nach, wenn er aktiv geworden ist, wie z.B. den RAT Trojaner Throd.a. Ein solcher RAT Trojaner macht dein System von außen fernsteuerbar.
http://www.antiviruslab.com/descript...184063&lang=de

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

ICh weiß nicht genau, was nun davon von Bedeutung ist, also tu ich mal alles rein

Logfile of HijackThis v1.98.2
Scan saved at 21:16:13, on 17.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\PowerStrip\pstrip.exe
D:\Spiele\Steam\Steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\HLSW\hlsw.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Sainti\LOKALE~1\Temp\Rar$EX01.523\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elite-force-rostock.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095446457727

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Diese Prozesse beenden:
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Diese Einträge fixen:
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Wechsle in den abgesicherten Modus:
- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

Da ich nicht allzu viel Ahnung habe, muss ich nochmal nachfragen, wie ich die Prozesse beende.
Normal dacht ich mir per Strg+Alt+Entf, allerdings sind diese Prozesse dort nicht aufgeführt. Gibt es noch einen anderen weg, diese zu beenden?

Wenn du im "normalen Modus" bist müssen die Prozesse sichtbar sein, solltest du dich bereits im abgesicherten Modus befinden, dann wären diese Prozesse nicht aktiv.
Mit Strg+Alt+Entf öffnest du den TaskManager, das ist richtig.

So, nach mehrstündigen scannen ist der nun endlich beendet.
Also um nochmal auf die Prozesse zurückzukommen: Im Task-Manager sind sie nicht aufgeführt.

Nun zu den logs. Da ich bevor ich den post lesen konnte bereits mit escan begonnen hatte, habe ich nun 2 Ergebnisse, wobei der scan einmal im "normalen" Modus, einmal im abgesicherten Modus durchgeführt wurde.

Im "normalen" Modus wurden folgendes entdeckt:

File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\PROGRA~1\GEMEIN~1\GMT\GMT.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Sainti\Desktop\godirc56_trapped\system\dlls\Moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File C:\Dokumente und Einstellungen\Sainti\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0H67G9Y7\member[1].php infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed.
File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.01. No Action Taken.
File C:\System Volume Information\_restore{49991BD7-200C-4789-97FA-443724858F9D}\RP107\A0022214.exe infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{49991BD7-200C-4789-97FA-443724858F9D}\RP107\A0022215.exe infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{49991BD7-200C-4789-97FA-443724858F9D}\RP107\A0022270.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{49991BD7-200C-4789-97FA-443724858F9D}\RP107\A0022271.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{49991BD7-200C-4789-97FA-443724858F9D}\RP107\A0022272.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{49991BD7-200C-4789-97FA-443724858F9D}\RP107\A0022273.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{49991BD7-200C-4789-97FA-443724858F9D}\RP107\A0022274.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{49991BD7-200C-4789-97FA-443724858F9D}\RP107\A0022275.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File D:\godirc56_trapped.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File D:\Spiele\Counter-Strike\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File D:\Spiele\Quake\Check for Quake III Arena Updates.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Spiele\Quake\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\stuff\Blender Buch\Python\Windows\pyth151.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\stuff\Blender Buch\Python\Windows\win32all.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\stuff\DivXPro502GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Im abgesicherten Modus:

[0x00000118] 17/09/2004 23:09:59:772 :[msvLclnt.dll][00000001] File C:\Dokumente und Einstellungen\Sainti\Desktop\godirc56_trapped\system\dlls\Moo.dll infected by not-a-virus:Tool.Win32.Moo
[0x00000118] 17/09/2004 23:29:49:994 :[msvLclnt.dll][00000001] File C:\Programme\mIRC\mirc.exe infected by not-a-virus:RiskWare.mIRC.6.01
[0x00000118] 17/09/2004 23:32:15:122 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00105400.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:15:303 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00105400.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:15:563 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00105408.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:15:663 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00105408.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:26:369 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00106229.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:26:419 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00106229.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:26:699 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00106236.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:26:739 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00106236.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:30:875 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00106517.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:30:935 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00106517.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:31:166 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00106524.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:31:216 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00106524.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:41:570 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00107486.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:41:621 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00107486.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:41:971 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00107492.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:42:011 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00107492.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:52:957 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00108288.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:53:007 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00108288.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:53:227 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00108295.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 17/09/2004 23:32:53:267 :[msvLclnt.dll][00000001] File C:\RECYCLER\NPROTECT\00108295.CAB infected by not-a-virus:AdvWare.Gator
[0x00000118] 18/09/2004 00:08:23:310 :[msvLclnt.dll][00000001] File D:\godirc56_trapped.exe infected by not-a-virus:Tool.Win32.Moo
[0x00000118] 18/09/2004 00:22:43:637 :[msvLclnt.dll][00000001] File D:\Spiele\Counter-Strike\hltv.exe infected by not-a-virus:RiskWare.Proxy.Hltv
[0x00000118] 18/09/2004 00:23:18:317 :[msvLclnt.dll][00000001] File D:\Spiele\Quake\Check for Quake III Arena Updates.exe infected by not-a-virus:Tool.Win32.Reboot
[0x00000118] 18/09/2004 00:23:26:940 :[msvLclnt.dll][00000001] File D:\Spiele\Quake\Extras\WorldNet\PCVKIT.EXE infected by not-a-virus:Tool.Win32.Reboot
[0x00000118] 18/09/2004 00:27:19:714 :[msvLclnt.dll][00000001] File D:\stuff\Blender Buch\Python\Windows\pyth151.exe infected by not-a-virus:Tool.Win32.Reboot
[0x00000118] 18/09/2004 00:27:19:985 :[msvLclnt.dll][00000001] File D:\stuff\Blender Buch\Python\Windows\win32all.exe infected by not-a-virus:Tool.Win32.Reboot
[0x00000118] 18/09/2004 00:29:09:422 :[msvLclnt.dll][00000001] File D:\stuff\DivXPro502GAINBundle.exe infected by not-a-virus:Tool.Win32.Reboot

hallo erstmal,ich bin auch ein opfer vom BDS/Agent.AY Virus.

habe schon escan im abgesicherten modus durchlaufne lassen und hier ist mein logfile von HijackThis nach escan. hoffe ihr könnt mir helfen...

Logfile of HijackThis v1.98.2
Scan saved at 16:02:56, on 02.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Sascha\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://star-attack.de/star-attack/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...7968f6b32fea6c
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28177.cab
O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://adult.popup.to/traffic/favorites.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92F4055E-7C2D-4926-9272-E9579A0288CE}: NameServer = 192.168.2.1

@ tyrot

Hast du das HJT Log-File im abgesicherten Modus erstellt?
Wenn ja, dann erstelle zur Sicherheit eines im normalen Modus und poste es.

Hallo!Hab leider auch den BDS Agent/AY auf meinem PC!
Hab vor einer Woche schon eure ganzen Tipps verfolgt und escan drüberlaufen lassen und so, weiss aber nicht was ich jetzt machen soll, ob der Virus jetzt schon weg ist oder nicht, oder ob ich ihn erst irgendwie löschen muss...
Wär super lieb, wenn mir jemand weiter hilft
ByeBye Mc Sauerkraut

ps: ich kopier jetzt einfach mal mein Ergebnis von vor einer Woche hier rein:

Logfile of HijackThis v1.98.2
Scan saved at 17:48:40, on 25.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\DOWNLOADS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=145499
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [exwn] C:\WINDOWS\exwn.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [mwavscan] "C:\BASES\MWAVSCAN.COM" /s
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\Plugins\nppcaplg.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - http://www.media18.de/spezial/wmactive.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab

----------------------------------------------------------------------





Sat Sep 25 15:58:19 2004 => Total Number of Files Scanned: 30028
Sat Sep 25 15:58:19 2004 => Total Number of Virus(es) Found: 104
Sat Sep 25 15:58:19 2004 => Total Number of Disinfected Files: 0
Sat Sep 25 15:58:19 2004 => Total Number of Files Renamed: 28
Sat Sep 25 15:58:19 2004 => Total Number of Deleted Files: 18
Sat Sep 25 15:58:19 2004 => Total Number of Errors: 58
Sat Sep 25 15:58:19 2004 => Time Elapsed: 00:41:09
Sat Sep 25 15:58:19 2004 => Virus Database Date: 2004/09/25
Sat Sep 25 15:58:19 2004 => Virus Database Count: 104333

braucht ihr auch noch die Liste wo die gnazen Viren mit Namen aufgelistet sind?

also glaube,dass ich den im normalen modus gemacht habe,hier aber nochmal einer,welcher definitiv ausm normalen modus stammt^^

Logfile of HijackThis v1.98.2
Scan saved at 19:34:20, on 02.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\programme\steam\steam.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NMapWin\bin\nmapserv.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Cheating-Death\cdeath.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Sascha\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://star-attack.de/star-attack/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...7968f6b32fea6c
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28177.cab
O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://adult.popup.to/traffic/favorites.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92F4055E-7C2D-4926-9272-E9579A0288CE}: NameServer = 192.168.2.1

@ Mc Sauerkraut


Fixe mit HijackThis dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://www.couldnotfind.com/search_...count_id=145499
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [exwn] C:\WINDOWS\exwn.exe
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O16 - DPF: {15C3C7A4-9676-11D3-9799-0060087190B9} - http://www.media18.de/spezial/wmactive.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-12.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab

hatte den agent jetzt auch drauf da ich aber keine zeit hatte hier grossartig hijack und sowas zu machen bzw eh nix davon verstehe hab ichs mir einfach gemacht da ich eh demnächst formatieren will. in dem ordner sind ja 2 dateien
wovon antivir nur die .exe löscht bin also in den ordner und hab die andere datei gelöscht und eine neue datei mit dem selben namen eingefügt seit dem kam die .exe datei nie wieder :-)

seit dem hab ich anderes problem mit nem gmt auch irgend ne art spy ware oder sonst was kann mir da einer helfen bzw link zu nehm passenden thread geben ??

ich bin auf der jagd