Hallo liebe Leute!

BDS/Agent treibt auch bei mir sein Unwesen. Sitze schon den ganzen Tag vorm PC und komme nicht weiter. Was muss ich löschen damit dieses Ungeheuer endlich weg ist? Hier meine Hijack-this Ergebnisse. Bitte um Hilfe!

Logfile of HijackThis v1.98.2
Scan saved at 19:22:13, on 26.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\SAVE\SAVE.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\VERISIGN\NAVI\NAVIAGENT.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\EZULA\MMOD.EXE
C:\PROGRAMME\MOZILLA1.7.3\MOZILLA.EXE
C:\PROGRAMME\VERISIGN\NAVI\NAVICLIENT.EXE
C:\WINDOWS\TWAIN\A4s2\Watchdog.exe
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN\BETTINA\COMPUTER\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchbar.findthewebsiteyouneed.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.media-search.net/nph-s...=sbar1_srchbtn
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.media-search.net/nph-s...k=stmpl1&find=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fh-vie.ac.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.media-search.net/nph-s...k=stmpl1&find=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.findthewebsiteyouneed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.media-search.net/nph-s...=sbar1_srchbtn
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.media-search.net/nph-s...k=stmpl1&find=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.media-search.net/nph-s...k=stmpl1&find=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.media-search.net/nph-s...k=stmpl1&find=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.media-search.net/nph-s...k=stmpl1&find=
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hhttp://search.media-search.net/nph-search.cgi?track=mssrc&look=stmpl1&find=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net;<local>
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\PROGRAMME\SE\V11\SE.DLL
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O2 - BHO: MediaPops Class - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL
O2 - BHO: WebBho Class - {00041A26-7033-432C-94C7-6371DE343822} - C:\PROGRAMME\SE\V11\SE.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\PROGRAMME\HOTBAR\BIN\4.1.8.0\HBHOSTIE.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: TopText - {55910916-8B4E-4C1E-9253-CCE296EA71EB} - C:\PROGRA~1\EZULA\EABH.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\SAVE\Save.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" uimode=agentupdate
O4 - HKLM\..\Run: [WindowEnhancer] "C:\PROGRAMME\WINEX\V2\WINEX.EXE" /U
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Media-Search] "C:\PROGRAMME\MSNET\V9\MSNET.EXE" /H
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Search-Exe] "C:\PROGRAMME\SE\V11\SE.EXE" /H
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo
O4 - Startup: Watchdog.lnk = C:\WINDOWS\TWAIN\A4s2\Watchdog.exe
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - User Startup: Watchdog.lnk = C:\WINDOWS\TWAIN\A4s2\Watchdog.exe
O4 - User Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {3B02AAA2-327C-40ED-A849-4BE819AE5385} (ImgSizer Control) - file://C:\WINDOWS\TEMP\~DlfnTmp0\imgSizer.ocx
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://deposito.hostance.net/dialer/606262.exe
O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40}

bist nicht der einzigste der den dreck hat

man hat mir geraten zu formatieren

hi

sind am rechner sensible daten gespeichert --> format:c
sonst, bitte noch ein prozess-logbuch hier posten
(HJT->Config->MiscTool->open prozess-manager--> kleine disc ->speichern->logfile posten

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten


Halte dies soweit wie möglich ein.

Also neu formatieren täte ich wirklich nur sehr sehr ungern. Deshalb hier mein Prozess-Logbuch. Was anderes: wie vertrauenswürdig ist die automatische Auswertung von hijack-this-logs?

lg,
eskobar

Process list saved on 22:49:17, on 26.10.2004
Platform: Windows ME (Win9x 4.90.3000)

[full path to filename] [file version] [company name]
C:\WINDOWS\SYSTEM\KERNEL32.DLL 4.90.0.3000 Microsoft Corporation
C:\WINDOWS\SYSTEM\MSGSRV32.EXE 4.90.0.3000 Microsoft Corporation
C:\WINDOWS\SYSTEM\mmtask.tsk 4.90.0.3000 Microsoft Corporation
C:\WINDOWS\SYSTEM\MPREXE.EXE 4.90.0.3000 Microsoft Corporation
C:\WINDOWS\SYSTEM\MSTASK.EXE 4.71.1964.1 Microsoft Corporation
C:\WINDOWS\SYSTEM\SSDPSRV.EXE 4.90.3000.0 Microsoft Corporation
C:\WINDOWS\SYSTEM\STIMON.EXE 4.90.3000.0 Microsoft Corporation
C:\WINDOWS\EXPLORER.EXE 5.50.4134.100 Microsoft Corporation
C:\WINDOWS\TASKMON.EXE 4.90.0.3000 Microsoft Corporation
C:\WINDOWS\SYSTEM\SYSTRAY.EXE 4.90.0.3000 Microsoft Corporation
C:\WINDOWS\STARTER.EXE 5.0.0.5 Creative Technology, Ltd.
C:\WINDOWS\PCTVOICE.EXE 1.0.0.0 PCtel, Inc.
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE 6.0.4.1 GAIN Publishing
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE 4.90.0.2533 Microsoft Corporation
C:\PROGRAMME\SAVE\SAVE.EXE 2.6.2.4 WhenU.com, Inc.
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE 6.28.0.0 H+BEDV Datentechnik GmbH
C:\PROGRAMME\VERISIGN\NAVI\NAVIAGENT.EXE 2.0.0.14 VeriSign, Inc.
C:\WINDOWS\RUNDLL32.EXE 4.90.0.3000 Microsoft Corporation
C:\PROGRAMME\EZULA\MMOD.EXE 1.0.69.12 Imesh3
C:\PROGRAMME\MOZILLA1.7.3\MOZILLA.EXE 1.7.20040.25472 Mozilla Foundation
C:\WINDOWS\SYSTEM\HIDSERV.EXE 4.90.3000.0 Microsoft Corporation
C:\WINDOWS\SYSTEM\WMIEXE.EXE 4.90.2452.0 Microsoft Corporation
C:\WINDOWS\TWAIN\A4s2\Watchdog.exe 1.0.0.1
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE 6.0.4.1 GAIN Publishing
C:\WINDOWS\SYSTEM\PSTORES.EXE 5.0.2133.2 Microsoft Corporation
C:\PROGRAMME\VERISIGN\NAVI\NAVICLIENT.EXE 2.0.1.0 VeriSign, Inc.
C:\WINDOWS\SYSTEM\DDHELP.EXE 4.8.0.400 Microsoft Corporation
C:\WINDOWS\SYSTEM\RNAAPP.EXE 4.90.0.3000 Microsoft Corporation
C:\WINDOWS\SYSTEM\TAPISRV.EXE 4.90.0.3000 Microsoft Corporation
C:\WINDOWS\FREECELL.EXE 4.90.0.3000 Microsoft Corporation
C:\EIGENE DATEIEN\BETTINA\COMPUTER\HIJACKTHIS\HIJACKTHIS.EXE 1.98.0.2 Soeperman Enterprises Ltd.
@ passat 2002

Diese zwei kanste ja so oder so fixen
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE 6.0.4.1 GAIN Publishing
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE 6.0.4.1 GAIN Publishing

scheisse hat nicht mal aufner 340GB platte platz

aber sonst habich nichts gesehn. Hab ich auch scheisse???

Keine Ahnung ich kenn mich nicht aus mit der "Scheiße"!

Aber ich würd gern wissen wie ich dem BDS/Agent AY entgültig den Gar ausmachen kann.

Help! I need somebody! Help, I need anybody! HEEEEELLP

hi

Zitat:

wie vertrauenswürdig ist die automatische Auswertung von hijack-this-logs?

--> ist ein anhaltspunkt, daher auch zusätzlich das prozess-log --> hier kann man sehen, von wem die datei signiert ist.
z.B. zeigt HJT eine services.exe nicht als schlecht an, gibt es aber unter win98se nicht, daher --> schadsoftware, aber matze arbeitet auch an solchen problemen weiter.
ist einem etwas gänzlich unbekannt, wird die datei mit kaspersky, oder trendmicro gescannt, oder man lässt escan drüberlaufen (kaspersky virenerkennung), dann sieht man, was noch so ungeziefer herumschleicht.
manchmal funzt aber das ganze auch "nur" mit spybot s&d
manche exe dateien sucht man mit google, andere finden sich schon in datenbanken wie z.B. deine (wird auch im logfile als solche erkannt)
Process File: save.exe
Process Name: WhenU.com SpyWare

Description: save.exe is an advertising program by WhenU.com. This process monitors your browsing habits and distributes the data back to the author's servers for analyses. This also prompts advertising popups/coupons. This program is a registered security risk and should be removed immediately. Please see additional details regarding this process
For detailed process information get WinTasks 5 Pro

Author: WhenU.com
Part of: WhenU.com SpyWare

System Process: No
Application: No
Background Process: Yes
Uses Network: Yes
Uses Internet: No
Hardware Related: No

Virus: No ( Remove )
Trojan: No ( Remove )
Spyware: Yes ( Remove )
Security Risk (0-5): 2
Block/Remove: Use WinTasks 5 Pro

also entweder escan drüberlaufen lassen ( info darüber im board --> installation update usw.) oder jede datei einzeln mit kaspersky scannen lassen

C:\WINDOWS\STARTER.EXE 5.0.0.5 Creative Technology, Ltd.
C:\WINDOWS\PCTVOICE.EXE 1.0.0.0 PCtel, Inc.
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE 6.0.4.1 GAIN Publishing
C:\PROGRAMME\SAVE\SAVE.EXE 2.6.2.4 WhenU.com, Inc.
C:\PROGRAMME\VERISIGN\NAVI\NAVIAGENT.EXE 2.0.0.14 VeriSign, Inc.
C:\PROGRAMME\EZULA\MMOD.EXE 1.0.69.12 Imesh3
C:\WINDOWS\TWAIN\A4s2\Watchdog.exe 1.0.0.1
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE 6.0.4.1 GAIN Publishing
C:\PROGRAMME\VERISIGN\NAVI\NAVICLIENT.EXE 2.0.1.0 VeriSign, Inc.

C:\WINDOWS\RUNDLL32.EXE

oK, wird eine datei als schadsoftware ausgegeben, diesen prozess mit dem taskmanager beenden, dann die datei manuell mit dem window-explorer löschen.
mit HijackThis (hier sollte dann kein prozess laufen, der als schadsoftware festgestellt wurde) alles nach anleitung fixen R1-018 einträge

weitere infos , auc zum manuellen entfernen von http://www.sophos.de/virusinfo/analy...ojagentay.html