|
BDS/ Agentay Bitte helft mir ! Hallo zusammen ! Ich hab zwar lange nach Vergleichsfällen gesucht, aber wie mir scheint wirk sich dieses Backdoorprogramm immer anders auf einem System aus... AntiVir brachte mir die Meldung über BDS/Agentay bereits letztes Jahr. Nachdem ich verschiedene Programme laufenlassen hab (A2, Trojancheck) war Ruhe.....bis Vorgestern !!! Ich hab XP SP2 Bitte helft mir dieses etwas endlich loszuwerden !!!!! Danke Ben |
Wo hat Antivir den Ordner gefunden(Pfadangabe) ? Poste auch mal einen Log von Hijackthis |
Hallo Cronos, erstmal Danke für Deine Antwort. Pfadangabe ist C:\Programme\Gemeinsame Dateien Mein log: Logfile of HijackThis v1.99.1 Scan saved at 20:13:45, on 03.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\DATA BECKER\XP optimal einstellen 3.0\xpoerunt.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\DATA BECKER\XP optimal einstellen 3.0\adblock.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\THORST~1\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe O4 - HKLM\..\Run: [DB_AFD] C:\Programme\DATA BECKER\XP optimal einstellen 3.0\DBAFD.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [Router-Monitor] C:\Programme\BarrMon\BarrMon.exe "NoSound" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [XPoe-Runtime] C:\Programme\DATA BECKER\XP optimal einstellen 3.0\xpoerunt.exe O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Konvertieren für CLIÉ - C:\Programme\Sony\Image Converter\menu.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.arcor.de O15 - Trusted Zone: http://www.fujitsu-siemens.de O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM) O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2458fda4...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5872B0E3-93A3-46B4-83EF-39D7F5735442}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Ich hoffe das war so richtig... Gruß Ben |
So fixxe zunächst folgende Einträge: C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe Sollte einer oder alle Einträge der O15-Gruppe ohne das du es wolltest dort eingetragen sein auch fixxen. Falls unbekannt oder ungewollt fixxe noch folgendes: O8 - Extra context menu item: Konvertieren für CLIÉ - C:\Programme\Sony\Image Converter\menu.htm Wechsle nun in den abgesicherten Modus bei abgeschalteter Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html Und lösche den Inhalt folgender Ordner und dann den Ordner selbst: C:\Programme\Gemeinsame Dateien\CMEII C:\Programme\Gemeinsame Dateien\GMT Lasse im abgesicherten Modus eine upgedate Version von adaware(www.lavasoftusa.com/software/adaware) und Spybot(http://www.safer-networking.org/de/) durchlaufen. Boote in den normalen Modus, aktiviere die Systemwiederherstellung und erstelle einen neuen Log von HJT |
Hallo !! hab jetzt mal die genannten Schritte erledigt, bis auf auf das durchlaufen von Spybot und Adaware. Die hatte ich vergessen vor dem abgesicherten Modus downzuloaden... Jedenfalls schaut mein Logfile nun so aus: Logfile of HijackThis v1.99.1 Scan saved at 21:24:30, on 08.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\DATA BECKER\XP optimal einstellen 3.0\xpoerunt.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\DATA BECKER\XP optimal einstellen 3.0\adblock.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\THORST~1\LOKALE~1\Temp\Rar$EX00.969\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe O4 - HKLM\..\Run: [DB_AFD] C:\Programme\DATA BECKER\XP optimal einstellen 3.0\DBAFD.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [Router-Monitor] C:\Programme\BarrMon\BarrMon.exe "NoSound" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [XPoe-Runtime] C:\Programme\DATA BECKER\XP optimal einstellen 3.0\xpoerunt.exe O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Konvertieren für CLIÉ - C:\Programme\Sony\Image Converter\menu.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.arcor.de O15 - Trusted Zone: http://www.fujitsu-siemens.de O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2458fda4...dxIE601_de.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5872B0E3-93A3-46B4-83EF-39D7F5735442}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Und was kann mann aus diesen Buchstaben/Zahlenkombinationen schliessen??? Alles wieder O.K. ??? Gruß Ben |
So,erstmal Sorry das ich dir auf deine letzte Frage nicht geantwortet hab.Ist irgendwie untergegangen. Scheinst nach dem HJT Log erstmal von Gator und Konsorten befreit zu sein. Da du aber in deinem ersten Post was von Backdoor schreibst, könntest du auch zur Sicherheit Escan drüberlaufen lassen: http://www.trojaner-info.de//hijacker/escan Bitte die Installationsanleitung auf den Punkt genau befolgen. Bitte die Ergebnisse hier posten: Zitat:
http://www.trojaner-board.de/51130-a...ijackthis.html Und viel lesen.Das bildet nämlich ungemein |
Hallo Cronos, AntiVir meldet mittlerweile nicht mehr. Aber das hat ja wie ich gelesen hab nichts zu bedeuten. der Ordner der jedenfalls durch AntiVir gefunden wurde mit dem BDS ist immernoch da. In Gemeinsame Dateien und heißt: dhacntpl Hat 2 Unterordner mit ebenfalls so einem Nonsense. Hab Spybot und Adaware laufen lassen. Die hatten auch noch ca. 36 "ETWAS" zu bemängeln. Und jetzt also E-Scan ? Gruß |
Zitat:
JA ;) Lass das mal laufen.Von den Signaturen her gehört das zu den besten.Richte dich bitte genau nach der Anleitung im o.g. Link |
Gut werd ich machen. Was ist das für ein seltsam benannter Ordner ? Der kam auch nach dem löschen immer wieder... Ist das der "AgentAY2 ??? :pfui: Und wer würde so ein Programm für was nutzen wollen ? Also grunsätzlich hab ich schon rausgelesen für was solche Programme da sind, aber ich kann mir nicht vorstellen das bei 2 Millionen infizierten PC mit dem gleichen Trojaner (hier im Forum gibts ja wirklich viele mit dem Problem) ausspioniert werden ??!!!!! Oder doch :( |
Zitat:
Zitat:
Was das alles ist? Wenns dich interessiert fang mal an dich bei www.trojaner-info.de einzulesen.Interessante Links, die dann auch weiter führen. |
Hallo !! Versuche seit Tagen auf die hier gelinkte Seite von E-Scan zu kommen. Resultat: Seite nicht gefunden... Nachdem aber andere hier im Forum problemlos downloaden liegt es wohl doch an mir !! Hat jemand einen Tip?? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board