Hallo,
hab leider auch diesen blöden Agent.ay auf dem Rechner gehabt. Also hab ich bei euch hier im Trojaner-board mal nachgelesen und schon einiges erledigt. HijackThis Logfile vorher erstellt, Systemwiederherstellung deaktiviert, eScan im abgesicherten Modus, Logfile nachher...
da ich aber nicht wirklich Ahnung habe, wärs schön wenn sich mal jemand die Logfiles anschaut und mir sagt, ob ich noch was machen muss.
Vielen Dank im Voraus
Log vorher:
Logfile of HijackThis v1.98.2
Scan saved at 15:10:52, on 24.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\dit.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\MobiPocket.com\MobiPocket Reader\webcomp.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Mobipocket Web Companion.lnk = C:\Programme\MobiPocket.com\MobiPocket Reader\webcomp.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Log nachher:
Logfile of HijackThis v1.98.2
Scan saved at 14:24:23, on 25.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\dit.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
C:\WINDOWS\DitExp.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\MobiPocket.com\MobiPocket Reader\webcomp.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Mobipocket Web Companion.lnk = C:\Programme\MobiPocket.com\MobiPocket Reader\webcomp.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Beide Logs schauen eigentlich sauber aus.

Zitat:

Zitat von *Christian*

Beide Logs schauen eigentlich sauber aus.

Hallo Christian, vielen Dank für die schnelle Antwort. Heißt das, dass ich nichts mehr weiter machen muss? Bin ich das Ding jezt los?
Antivir hatte bei mir den Backdoor gemeldet, witzigerweise sofort nachdem ich Spybot und Adaware installiert habe und die beiden progs scannen ließ.
lg
Waldmensch

@Waldmensch
wie *Christian* schon postete, dein log schaut sauber aus
meinst du den hier
http://www.antiviruslab.com/descript...184063&lang=de
hat escan was gefunden?
poste anders doch die ergebnisse (nur die) von escan
chaosman

Ich hab jetzt mal "kurz" nochmal eScan durchlaufen lassen. Hier das Ergebnis:

File C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B7HFBT8W\simplebind[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed.

File D:\Downloads\Programme\Audiograpper Lame freedb\Audiograpper 1.82 Feb.2003\agsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Total Number of Files Scanned: 49143
Total Number of Virus(es) Found: 2
Total Number of Disinfected Files: 0
Total Number of Files Renamed: 1
Total Number of Deleted Files: 0
Total Number of Errors: 0

Wär sehr nett, wenn du / ihr euch das noch anschaut. Danke im Voraus
Waldmensch

Hallo,
nachdem ich kurz mal zur Arbeit musste, bin ich jetzt wieder online und bitte euch mein eScan-Ergebnis mal anzuschauen.
Danke

File C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B7HFBT8W\simplebind[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed.

File D:\Downloads\Programme\Audiograpper Lame freedb\Audiograpper 1.82 Feb.2003\agsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

PS:sollte ich irgendwelche Regeln verletzen, sagt es mir bitte: bin wirklich blutiger Anfänger, zumindest was den Umgang hier betrifft

Lösche deine Temp. Internet Files.

Hab ich gemacht. Hoffe, daß mein Rechner sauber ist.

Vielen Dank für die Hilfe. Allen die hier ihre Zeit und ihr Wissen zur Verfügung stellen zolle ich großen Respekt.