![]() |
AntiVir findet BDS/Agent.ajs Liebes Forum! Nach einem Scan mit AntiVir bekomme ich immer die Meldung, dass der BDS/Agent ajs gefunden. Leider hilft mir auch das Löschen nicht weiter. Kann mir jemand helfen. Danke im voaus. |
Hallo. Bitte den genauen Verzeichnispfad des der Datei angeben. (steht im letzten Report von Antivir!) Außerdem kannst du ein Hijacklog posten, Anleitung dazu in meiner Signtur verlinkt. Gruß Sunny |
Hi! Anbei das Logfile von AntiVir. Ich muss dazu sagen dass ich reiner Anwender bin und sowas zum 1x mache. Also bitte um Nachsicht, wenn ich nicht alles sofort verstehe. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'SCHED.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'AVGNT.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'AVGUARD.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'HARDCOPY.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'pdfSaver3.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'MemOptimizer.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'ApntEx.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'CTFMON.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'MmReminderService.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'OneTouch.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'MXOALDR.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'FPASSIST.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'CloneCDTray.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'JUSCHED.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'ZLCLIENT.EXE' - '0' Module wurden durchsucht Durchsuche Prozess 'DevDetect.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'USSRB.EXE' - '1' Module wurden durchsucht Modul ist infiziert -> 'C:\WINDOWS\system32\ussrb.exe' Durchsuche Prozess 'RUNDLL32.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'CPLBCL53.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'Apoint.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'AGRSMMSG.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'HKCMD.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'IGFXTRAY.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'EXPLORER.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'ALG.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'VSMON.EXE' - '0' Module wurden durchsucht Durchsuche Prozess 'RETRORUN.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'LckFldService.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'SPOOLSV.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'LSASS.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'SERVICES.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'WINLOGON.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'CSRSS.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'SMSS.EXE' - '1' Module wurden durchsucht Infected processes will be killed Process 'USSRB.EXE' will be killed Infected Process 'USSRB.EXE' will be rescanned C:\WINDOWS\system32\ussrb.exe [FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.ajs [INFO] Die Datei wurde gelöscht. Es wurden '45' Prozesse mit '44' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( 35 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <SYSTEM> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\agtrfk.exe [FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.ajs [INFO] Die Datei wurde gelöscht. C:\System Volume Information\_restore{FFCDD1B6-751B-4E0A-BF08-5E2B30F9F43D}\RP160\A0014625.EXE [FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.ajs [INFO] Die Datei wurde gelöscht. C:\System Volume Information\_restore{FFCDD1B6-751B-4E0A-BF08-5E2B30F9F43D}\RP160\A0014627.exe [FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.ajs [INFO] Die Datei wurde gelöscht. |
... und hier noch das "Logfile of HijackThis" Danke im voraus! C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LckFldService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Dantz\Retrospect\retrorun.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\MXOALDR.EXE C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\Programme\Mindjet\MindManager 6\MMReminderService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE C:\Programme\Hardcopy\hardcopy.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe D:\00 PRIVAT\20 COMPUTER\PROGRAMME\HijackThis 1.99\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\ussrb.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe" O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166458489983 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166461888073 O17 - HKLM\System\CCS\Services\Tcpip\..\{DC9B90B7-1545-42CB-87F5-749F23E183D5}: NameServer = 195.34.133.21 195.34.133.22 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: Microsoft BIOS Drivers - Unknown owner - C:\WINDOWS\system32\vcmon.exe (file missing) O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
Versuche mal das von Hjjackthis beheben zu lassen: Zitat:
|
Zitat:
@Kyem Dein System ist als Kompromittiert anzusehen, es sind mindestens 2 BackdoorTrojaner im System: Zitat:
Zitat:
Mehr dazu in meiner Signatur -> Neuafsetzen und anschliessende Absicherung Gruß Sunny |
Zitat:
Und kennst Du nicht den Song "Back in the USSR" von den Beatles? :rolleyes: |
Zitat:
Zumal UDSSR auch am geläufigsten ist/war. ;) |
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board