Trojaner-Board - Hab den BDS/Agent.vxa.1

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hab den BDS/Agent.vxa.1 (https://www.trojaner-board.de/68228-hab-bds-agent-vxa-1-a.html)

Hab den BDS/Agent.vxa.1

Hi Leute,

Ich hab folgendes Problem ich hab jetzt seid 2 Wochen den Virus BDS/Agent.vxa.1. Ich hab schon nach lösungen gesucht hab aber immer nur gelesen man sollte eine System wiederherstellung durchführen. Ich hab aber keine ahnung wie ich das ohne Datenverlust hin krieg und auch keine Datensicherungen.
Jetzt hab ich mal ein Hijacks Logfile erstellt und wüsste gerne ob mir djemand sagen könnte was ich jetzt tun kann.

Hier die Warnung die ich immer bekomme

In der Datei 'C:\WINDOWS\system32\c_397380.nls'
wurde ein Virus oder unerwünschtes Programm 'BDS/Agent.vxa.1' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:48:37, on 07.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\avmclient\AvmObex.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.worldofgothic.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {A20B1BB0-AC3D-4530-85F3-791B81303190} (ICQDevilImg Control) - http://xtraz.icq.com/xtraz/products/...CQDevilImg.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC4FBF1-DB1D-4450-B968-DD5CCA0D0FE3}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Microsoft DDE+ server (f27e2ec3ba8ce027) - Unknown owner - C:\WINDOWS\system32\.f27e2ec3ba8ce027\f27e2ec3ba8ce027.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - c:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

--
End of file - 8612 bytes
Danke schonmal im Vorraus

Hallo Balrog.
Also zuerst denke ich wir können das Problem in den Griff bekommen.
Aber jetzt im Ernst: 2 Wochen nach einer Infizierung erst so einen Threat aufzumachen ist definitiv zu Spät! Ich gehe mal davon aus das du hier wichtige Dateien auf dem PC hast. In manchen fällen ist sogar eine Reinigung ein paar Stunden nach der Infizierung zu Spät! Also immer so schnell wie möglich.

Jetzt zum Thema:
Ich würde gerne wissen welche Anti-Viren Programme du schon hast durchlaufen lassen. Ob sie irgendwelche befunde/aktionen gemacht haben. Außerdem: Gibt es vielleicht irgendwelche Anzeichen für den Schädling? (zB hohe CPU Auslastung, langsames Inet, ungefragte pop-ups etc)

1.) Bitte folgenden Eintrag / folgende Einträge mit HiJackThis fixen:

Code:

O23 - Service: Microsoft DDE+ server (f27e2ec3ba8ce027) - Unknown owner - C:\WINDOWS\system32\.f27e2ec3ba8ce027\f27e2ec3ba8c e027.exe (file missing)

Wenn du danach noch infiziert bist, mache bitte dies:

Lade bitte SUPERAntispyware herunter und update es. Dann bitte im abgesicherten Modus starten und durchlaufen lassen.
Das Ergebniss hier posten.

Viel Erfolg!

Ich denke, dieses Thema wird bald im Mülleimer landen, da keine Links abgeändert worden sind...:rolleyes:

Aber trotzdem eine Frage an dich Shadow1990:

Du suchst doch selber grade nach Hilfe und zwar HIER.
Bist du sicher, dass du die Probleme anderer dann Lösen kannst???

Zitat:

Zitat von Helena1 (Beitrag 404261)

Die einfache Antwort ist das ein Freund von der Uni den Acc auch benutzt. Ich bin nicht der Typ der solche Smileys benutzt. Ich studiere IT in Karlsruhe und arbeite nebenher in einer Netzwerkadministrationsfirma und habe daher jeden Tag mit Menschen zu tun die irgendwelchen Müll runterladen und damit verbunden auch die Schädlinge.

Zitat:

Zitat von Shadow_1990 (Beitrag 404263)

Die einfache Antwort ist das ein Freund von der Uni den Acc auch benutzt.

Na, ob ich das glauben soll?:rolleyes:

Zitat:

Zitat von Helena1 (Beitrag 404266)

Na, ob ich das glauben soll?:rolleyes:

Ich weiß es klingt banal, aber so is das in ner WG. Da hat man nur einen Computer. Trotzdem ist jetzt nicht hier der platz über sowas zu diskutieren. Wenn du mich anzweifelst ist das mit mir in ordnung. Aber bis jetzt hat sich noch keiner beschwert. Schreib mir ne PM wenn du mich anzweifeln willst.

Zitat:

Zitat von Shadow_1990 (Beitrag 404267)

Ich weiß es klingt banal, aber so is das in ner WG. Da hat man nur einen Computer.

Ähem, ich hoffe, ich sorge nicht grade für ne Sperre meinerseits, da wir mittlerweile sehr off topic sind. SCNR!

Da wirft sich mir nur noch eine allerletzte Frage auf, wenn doch dein Mitbewohner den selben PC wie du benutzt, also an dem sitzt, an dem du dich auch aufhälst, frage ich mich, wieso dein Mitbewohner sich Hilfe in nem Board sucht und nicht einfach dich fragt??? :confused:

So halte mich ab jetzt raus....:heilig:

Zitat:

Zitat von Helena1 (Beitrag 404272)

Winterskiurlaub im Harz Frau Schlauberger. Vielleicht lieber mit Katzen als mit anderen Leuten beschäftigen

@Shadow_1990

Ich hab an deiner Theorie auch meine Zweifel.
Zum einen solltest du einen etwas freundlicheren Umgangston gegen andere User (hier Helena1) haben, du schreibst hier mit realen Menschen.
Und wenn die 1990 für dein Geburtsjahr stehen, kannst du wohl noch nicht sehr lange studieren. :rolleyes:

Und durch deine unkompetente Vorgehensweise gegenüber des TO lässt sich schließen, dass du herzlich wenig Ahnung von der Materie hier hast.

Und bevor du hier versuchst anderen zu helfen (was vermutlich nett gemeint ist) solltest du lieber deine eigenen Probleme in den Griff bekommen, wie Helena1 dir schon gezeigt hat.

So, zu dir Balrog:

Ich rate dir, dein System plattzumachen und Windows neuaufzuspielen.
Der Befund von Avira deutet auf eine Silentbanker Infektion hin und mit sowas sollte man nicht spaßen.

Zwecks Analyse und falls du dich mit einem Neuaufsetzen nicht zufriedenstellen willst, führe bitte folgendes Tool aus:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Also erstens Shadow

Ich habe mit Avira AntiVir nen Durchlauf gemacht der hat den auch gefunden konnte ihn aber nicht löschen. Ich habe auch noch Ad-Aware aber keinen suchlauf damit gemacht. Und mit Combofix und HiJackThis Logfiles erstellt und auch ein paar sachenbeseitigt.

Aber dieser Teil geht nicht weg.

O23 - Service: Microsoft DDE+ server (f27e2ec3ba8ce027) - Unknown owner - C:\WINDOWS\system32\.f27e2ec3ba8ce027\f27e2ec3ba8c e027.exe (file missing)

Und ich habe vor 3 Tagen diesen BDS in mit Avanger versucht zu löschen. Es gibt jetzt keine Warnung mehr und mein PC startet wieder mit voller geschwindigkeit (was er wo die Warnung noch gekommen ist nicht getan hat) aber ich glaube nicht das ich ihn beseitigt habe.

So und Silent ich habe mit ComboFix versucht ein Logfile zu erstellen aber er bringt auf einmal die Meldung "C:/Windows/system32 ist falsch geschrieben oder existiert nicht" danach macht er gar nichts mehr.

Und Neuaufsetzung gehört nicht zu meiner Favoriten wahl da ich weder Sicherungen noch die orginal XP CD hab.

Ich weiß ihr habt viel zu tun aber kann mir bitte jemand sagen was ich jetzt machen soll ?