Hallo an alle,
seit über einer Woche habe ich den BDS/Agent in meinem PC und kann ihn leider nicht löschen, er befindet sich in der Datei:
Programme/Gemeinsame Dateien/NTUSFUNN/LLAORFCL/SFRNMFRS.EXE und in
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""/NMFOASNPNR/FQRLMEEBD.EXE

Ich verfolge euer Forum schon seit einigen Tagen und habe nun auch einen Hijack gemacht. Hoffe ich habe es richtig gemacht.

Bitte sagt mir welche dateien ich fixen kann.

Ich habe windows 98 und eine windwosupdate konnte ich leider nicht machen, hatte nur einen weißen Bildschirm.

Freue mich auf eine Antwort

elli

Logfile of HijackThis v1.98.2
Scan saved at 12:29:30, on 25.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\WINDOWS\SYSTEM\PRINTRAY.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\WEBWASHER\WWASHER.EXE
C:\PROGRAMME\DATE MANAGER\DATEMANAGER.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\WINDOWS\SYSTEM\SYSEDIT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ABLAGE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.skynet.be/en/altavista
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F1 - win.ini: load=ptsnoop.exe
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [Microsoft64] C:\WINDOWS\SYSTEM\swchost.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Welcome] C:\WINDOWS\Welcome.exe /R
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Microsoft64] C:\WINDOWS\SYSTEM\swchost.exe
O4 - HKCU\..\Run: [WebWasher] C:\PROGRAMME\WEBWASHER\WWASHER.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: rose - Doorkeeper.lnk = C:\WINDOWS\FONTVIEW.EXE
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx

Hallo ads-elli,

- scanne bitte mit dem online-scan von Kaspersky folgende Dateien:

C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\SYSTEM\SYSEDIT.EXE
C:\WINDOWS\Welcome.exe /R

- teile uns das Ergenis der Überprüfung mit und sende diese Dateien dann, wenn sie infiziert sein sollten an partytime-germany.ice@web.de mit Hinweis auf diesen Thread.

- lade dann den eScan runter, erstelle hierfür manuell einen neuen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung im Thread: Thread-6083

- teile uns das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt.

- erstelle ein neues Logfile mit Hijack This und poste es.

SD

Hallo Shadowdance,
vielen Dank für deinen schnellen Tipp.

Ich habe gerade 2x alle 4 Dateien scannen lassen, leider ohne Befund.

Vielleicht fällt Dir noch etwas gutes ein.

vlg

elli

Hier ist der Übeltäter:
O4 - HKCU\..\Run: [Microsoft64] C:\WINDOWS\SYSTEM\swchost.exe
Fixen und löschen.

Danach ein neues Log-File posten.

Zitat:

Zitat von Cidre

Hier ist der Übeltäter:
O4 - HKCU\..\Run: [Microsoft64] C:\WINDOWS\SYSTEM\swchost.exe
Fixen und löschen.

Danach ein neues Log-File posten.

Bin leider kein Profi, was ist den ein Logfile?

Aber super Dein Fund, ich werde mich gleich an die Arbeit machen und die Datei fixen,
mal sehn obs klappt.

vlg

elli

@ads-elli

mit HJT scannen, häkchen setzen, fix checked, danach save log, und log speichern.
dieses log hier im board posten mit copy and paste
ich würde noch mal scannen, du hast ein paar ungute sachen im system
chaosman

Hallo ads-elli,

ist doch gut, dass die Dateien ohne Befund sind. Hast Du den eScan bereits durchgeführt? Ich hatte Dir den Link in meinem Posting gegeben. Geh genau nach der bebilderten Anweisung vor.

Und .. Du hattest ja schon ein Logfile gepostet, wenn Du den eScan gemacht hast, erstellst Du ein weiteres Logfile, sowie das Eingangsposting von Dir:

Zitat:

Freue mich auf eine Antwort

elli

Logfile of HijackThis v1.98.2

.. schau mal oben, im ersten Posting nach. Gib uns auch die Namen der Viren an, falls welche auf Deinem System gefunden werden.

Wenn Du Fragen hast, stell sie. Was wir beantworten können, beantworten wir.

SD

HI an alle lieben Helfer,
das mit diesem Forum ist eine tolle Sache(mache ich zum ersten Mal),
ich schicke nun den neueLogfile of HijackThis v1.98.2
Scan saved at 21:55:53, on 29.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\WINDOWS\SYSTEM\PRINTRAY.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\WEBWASHER\WWASHER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\PROGRAMME\DATE MANAGER\DATEMANAGER.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ABLAGE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.skynet.be/en/altavista
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...07&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
F1 - win.ini: load=ptsnoop.exe
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [WebWasher] C:\PROGRAMME\WEBWASHER\WWASHER.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: rose - Doorkeeper.lnk = C:\WINDOWS\FONTVIEW.EXE
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx

n Log-file


Die Datei ist weg,

heißt dass der virus ist jetzt auch endlich weg,

sicher nein, denn gerade hat er sich wieder auf meinem Bildschirm gemeldet!!!!


VLG

ELLI

Hallo ads-elli,

1.) lade den eScan runter,
erstelle hierfür manuell einen neuen Ordner (=Verzeichnis) c:\bases,
update den eScan online
führe ihn offline im abgesicherten Modus aus.

Du findest eine genaue, bebilderte Anleitung im Thread-6083 mit Downloadlink

2.) Teile uns das Ergebnis des eScan mit:
wieviel Viren wurden auf Deinem Rechner gefunden,
wie heißen diese Viren,
wieviele Viren wurden gelöscht,
wieviele Dateien wurden umbenannt.

3.) erstelle ein neues Logfile mit Hijack This
poste es bitte.

Lieben Gruss
SD

Zitat:

Zitat von Shadowdance

Hallo ads-elli,

ist doch gut, dass die Dateien ohne Befund sind. Hast Du den eScan bereits durchgeführt? Ich hatte Dir den Link in meinem Posting gegeben. Geh genau nach der bebilderten Anweisung vor.

Und .. Du hattest ja schon ein Logfile gepostet, wenn Du den eScan gemacht hast, erstellst Du ein weiteres Logfile, sowie das Eingangsposting von Dir:
.. schau mal oben, im ersten Posting nach. Gib uns auch die Namen der Viren an, falls welche auf Deinem System gefunden werden.

Wenn Du Fragen hast, stell sie. Was wir beantworten können, beantworten wir.

SD

Haoll Shadowdance

danke,

aber den eSkan habe ich noch nicht heruntergeladen, da ich keinen positiven
Befund hatte, sollte ich es trotzdem tun?

ELLI

Hallo ads-elli,

mit dem Online-Scan hast Du 4 einzelne Dateien überprüft. Diese vier Dateien sind ok. Um Deine Festplatte insgesamt zu überprüfen, musst Du den eScan laufen lassen. Du gehst genau nach Anleitung vor, setzt die Häk'chen .. schau Dir die Abbildung bitte genau an .. und lass dann den eScan Dein gesamtes System überprüfen.

Vergiss nicht, dass Du den eScan direkt nach dem Download updatest, das muss sein. Und lass ihn dann offline, im abgesicherten Modus laufen. Bitte lies Dir die Anleitung ganz genau und langsam durch.

Dieser Scan-Vorgang dauert ziemlich lange .. ca 1 Stunde, abhängig wieviele Dateien auf Deinem Computer sind .. mach's Dir gemütlich, lasse ihn laufen, er entfernt oder benennt alle schädlichen Dateien um, und wir wollen dann gerne von Dir wissen, welche Viren (Namen) gefunden worden sind.

Bis nachher,
Shadowdance

Hallo shadowdance,

ok, das ist ja eine supergenaue Anleitung,
ICH traue ich mir das alleine nicht zu, da ich mit dem abgesichertem modus nicht klar komme, hatte letztens mit einem Freund auch nur 1x geklappt, mit der F8 Taste beim PC-hochfahren.

ich warte bis er mir noch mal helfen kann und dann hoffe ich nach erfolgter Arbeit und hoffentlich geglücktem skannen
auf Deine und Eure super Hilfe.


DANKE

ELLI

Hallo ads-elli,

es geht ganz einfach .. probiere es aus:

"Neustart von Windows 98 in den abgesicherten Modus:

Das geschieht in folgenden Schritten.

1. Neustart des Computers.
2. Windows 98
Während des Neustarts, "Strg"-Taste gedrückt halten bis das Windows 98 Startmenü erscheint.
3. Windows 98 im "abgesicherten Modus starten" auswählen und mit "Enter"-Taste bestätigen."
[- aus: www.bsi.bund.de zitiert -]


Nur Mut, der Computer geht nicht dabei kaputt ...

SD

Hallo an alle Helfer,

vielen herzlichen Dank für eure Tipps, aber so einfach scheint das alles bei mir nicht zu gehn. Habe mit dem Link von Seite 6083 den escan runtergeladen und in ein neues Verzeichnis c:\bases gespeichert. Dort steht jetzt bei mir eine Datei mwav.exe, deren Icon aussieht wie eine DOS-Datei. Was ich verwirrend finde ist, dass der escan-Screenshot von Seite 6083 aber so aussieht wie ein Windows-Programm.
Danke für den Tipp mit der Strg-Taste! So ist der Start im abgesicherten Modus wenigstens kein Problem mehr.
Im abgesicherten Modus unter Windows lässt sich escan aber nicht starten (Meldung: keine gültige Win32 Anwendung). Versuche ich aber einen Start im DOS-Fenster, kriege ich wieder die Meldung, dass nicht genügend Arbeitsspeicher zur Verfügung steht. Brauche ich hierfür etwa noch eine ganz bestimmte DOS-Modus-Startkonfiguration?

Das Windows-Sicherheits-Update habe ich zum Glück inzwischen auch hingekriegt.
Dafür hab ich mir inzwischen auch noch was Neues eingefangen, nämlich:

C:\WINDOWS\CODER\_8-SMS-4-0-.EXE
Dialer DIAL/Generic

Habe erstmal "Löschen" angewählt und hoffe, dass das richtig war.

Vielleicht bin ich dank des Tipps von Cidre den BDS/Agent.AY sogar schon losgeworden, denn die Virenmeldung mit dem Dialer war eben die einzige. Aber um das genau feststellen zu können, müsste ich wohl erstmal escan gestartet kriegen ...

Herzlichen Dank nochmal an euch alle für eure zahlreichen Hilfestellungen!

Viele Grüße,
elli

Die heruntergeladene mwav.exe ist nicht die eigentliche Startdatei von E-Scan, sondern nur die gepackte Installationsdatei. Du musst sie also nicht nach c:\bases kopieren (wobei das egal ist, du kannst sie auch in diesem verzeichnis lassen), sondern entpacken. Rechtsklicke die exe und wähle entpacken nach, dort wählst du dann den ordner c:\bases. Dann stehen dort eine Menge weiterer Dateien und du kannst wie im Link beschrieben updaten (allerdings nur im normalen Modus) und dann in den abgesicherten Modus starten und den Scan beginnen mit mwavscan.com

Manchmal musst du bißchen mit F8 herumprobieren, ist eine Timingfrage.