Hi Leute!!!!

hab da mal ein problem! undzwar BDS/Agent.A
wird mir von meinem AntiVir angezeigt! ich lösch ihn auch jedesmal! aber kommt immer wieder! also vermute ich mal das der sich über die systemwiederherstellung rein schmuggelt! hab schon einige foren durchstöber m wat zu finden! kann mir da jemand helfen???

THX im vorraus

Hallo, BOnanza,
poste doch bitte ein HijackThis Logfile hier ins Forum.
Das geht so:
Dann sehen wir weiter

jow hab ich direkt mal gemacht!

Logfile of HijackThis v1.98.2
Scan saved at 21:02:58, on 27.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\FamilyKeyLogger\cisvc.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Dokumente und Einstellungen\Kurt Klöppel.B0NANZA\Eigene Dateien\client\client.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Mentor\Mentor TV\RemoteCtl.exe
C:\Programme\Mousometer\mousometer.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Jana2\janad.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Heirue-Soft\FMS32-PRO\fms32pro.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Steam\steam.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mentor\Mentor TV\PC-TV.EXE
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Kurt Klöppel.B0NANZA\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trojaner-board.de/showthr...1687#post81687
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = B0nanZa's Browser
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [FamilyKeyLogger] C:\Programme\FamilyKeyLogger\cisvc.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TweakXP] C:\Tsrh.reg
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Uptime-Project] C:\Dokumente und Einstellungen\Kurt Klöppel.B0NANZA\Eigene Dateien\client\client.exe
O4 - HKCU\..\Run: [Tweak-XP Pro] "C:\Programme\Tweak-XP Pro 3\autostart.exe"
O4 - HKCU\..\Run: [VirtualDesktop] "C:\Programme\Tweak-XP Pro 3\virtuald.exe"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Spam Shredder] "C:\Programme\Webroot\Shredder\spshredder.exe" -tray
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Mentor TV Remote Control.lnk = C:\Programme\Mentor\Mentor TV\RemoteCtl.exe
O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1EA20C2-C4D4-4603-9C09-917A7569287E}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC9367A9-1BFE-4143-A5D5-8A427FC0F73E}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: rainit.dll




das isser!!!


aber ich frag mich was man darus lesen kann! -.-

thx schon mal!


mfg
B0nanZa

ich glaub ich hab den verursacher!

http://www.miniclip.com/bestfriends/retro64_loader.dll


weil wenn ich da druff geh! kommt wieder die warnung muss ich nur nochwat finden was gegen die pest hilft!


mfg
B0nanZa

Hallo, BOnanza,
freu Dich nicht zu früh...
Du hast jede Menge übles Zeug auf dem Rechner. Während wir uns hier Gedanken machen, google mal ein bißchen, z.B. über New.Net (NewDotNet)...

@B0nanza

Wieso hast du überhaupt kein Service Pack für WinXP installiert?

fett das ihr mei helft! thx!


hört sich ja ziemlich übel an!!! kann ichmir hoffnungen machen?


mfg
B0nanza

Du hast einiges an Arbeit vor Dir:
Um Deine NewDotNet Einträge loszuwerden, solltest Du dir LSPFix herunterladen und laufen lassen.
Dies solltest Du im abgesicherten Modus fixen:

C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"

Wenn dir nicht bekannt, dann ebenfalls fixen:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js

Im Anschluß folgende Dateien manuell löschen:
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\NewDotNet\newdotnet6_38.dll
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

Alle "temp" Dateien und temporary Internet Files löschen.

Dann bitte ein neues HJT Logfile posten.

Achtung: Die New.Net Einträge nicht manuell löschen!