Hijack this log, da BDS/AgentAy
 

Liebe Leute,

tja, jetzt habe ich mir auch so ein Ding eingefangen - antivir zeigt mir immer an, dass ich mir den bds/agentay eingefangen habe, ich verschiebe das zwar dann immer - jetzt nervt es aber und muss weg - ich poste euch mal mein hijack this file mit der Bitte um hilfe und info was ich fixen soll. Bräuchte allerdings ne ausführliche Erklärung, wie ich dabei vorgehen soll - (bin ich so firm in computer :) ).

Danke schon mal im voraus

Logfile of HijackThis v1.99.0
Scan saved at 11:14:43, on 21.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cherry\CDI\CDI.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
D:\Acrobat\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
D:\Sehr nützliches\HijackThis.exe

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Acrobat Assistant.lnk = D:\Acrobat\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct2_x.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC1F09A0-2636-4691-BC94-3D2A662460BB}: NameServer = 192.168.0.1,1.0.0.0
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\CDI.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hallo,

wo genau findet Antivir den Schädling?

Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm


Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe



Lösche die aufgeführten Dateien, starte wieder und aktiviere die Systemwiederherstellung. Deinstalliere DAP und verwende lieber das adwarefreie Leechget (es sei denn, du hast es gekauft).

super, danke für die Antwort und die Anleitung,
ich hab mal gerade antivir report angeschaut und im prinzip ist das die Meldung - muss ich dann noch zusätzlich was machen?

21.12.2004,10:57:19 [WARNUNG] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.AY!
C:\PROGRAMME\GEMEINSAME DATEIEN\ATHPNFHN\LNETTLLL\FPCHPLCR.EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
21.12.2004,10:59:14 [WARNUNG] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.AY!
C:\PROGRAMME\GEMEINSAME DATEIEN\ATHPNFHN\ANBTRDLHNL\NFCJPPAEP.EXE