BDS/Agent.Ay
 

Hi,
Ich habe den Virus BDS/Agent.Ay im System. Ich hab mit eurer Hilfe schon zwei Trojanische Hoppepferdchen killen können, ich würde mich freuen wenn ihr mir auch hier helfen könntet. Danke, Johnny-Rocko

HijackThis Log:
-------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:05:15, on 08.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\HPZTSB05.EXE
C:\WINDOWS\SYSTEM\MMTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\TELEDAT\IWATCH.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.31\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\NEUER ORDNER\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ELSAChipGuard] C:\WINDOWS\ELSAUTIL\elsavect.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [System Tray] C:\WINDOWS\MSCCN32.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TVWatch] C:\WINDOWS\SYSTEM\TVWatch.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\TELEDAT\IWatch.exe
O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - E:\Preispiraten\Preispiraten2\preispiraten2ie.exe (file missing)
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Filter: text/html - {C6B34140-8CA1-11D9-A62B-0007EF19291C} - C:\WINDOWS\SYSTEM\OODL.DLL
O18 - Filter: text/plain - {C6B34140-8CA1-11D9-A62B-0007EF19291C} - C:\WINDOWS\SYSTEM\OODL.DLL

Hallo Johnny-Rocko,

fixe mit HJT bitte noch folgende Einträge:

O18 - Filter: text/html - {C6B34140-8CA1-11D9-A62B-0007EF19291C} - C:\WINDOWS\SYSTEM\OODL.DLL
O18 - Filter: text/plain - {C6B34140-8CA1-11D9-A62B-0007EF19291C} - C:\WINDOWS\SYSTEM\OODL.DLL

Vergewissere Dich, ob die Datei überhaupt noch da ist.

Wo soll der Fund stecken?

Führe bitte dies mal aus:
1. Downloade Dir escan und befolge diese Anleitung (dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

@Johnny-Rocko,
http://www.free-av.de/cgi-bin/ubb/ul...&f=12&t=005482
Das ist leider nur deiner Vorstellung nach: ich gehe stark davon aus, dass die noch irgendwo sind.
Und ich vermute, dass dir schon davon damals gesagt wurde:
Damit hat man viele Probleme.
Das z.B. ist ein Zeichen von Sobig.B: http://www.nod32.de/msgs/palya.htm
[/QUOTE]
schon gesagt.
Bei einem Backdoor hilft das ganze nicht, weil keiner weiß, was hinter den normalaussehenden Beiträgen wirklich steckt.
Du musst:
1.PC vom Internet trennen
2.Neu aufsetzten inkl alle Patches und Updates: Anleitung
3 Vernünftig absichern:Info
4.Alle Passwörter wechseln.
Noch Details:
Ich habe Virus...
10 Immutable Laws...

Hallo Rene-gad,

da muss ich Dir teilweise widersprechen.
In einem WIN98-System ist dieser Eintrag bezüglich der "systray.exe" völlig normal. Jedenfalls ist dies auch bei mir so.

Du meinst eher dies:

hab ich doch glatt übersehen. :mad:

dartus