Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Backdoor Agent.AY - bitte Log anschauen (https://www.trojaner-board.de/8151-backdoor-agent-ay-bitte-log-anschauen.html)

Waldmensch 05.10.2004 20:01
Backdoor Agent.AY - bitte Log anschauen
 
Hallo,
hab leider auch diesen blöden Agent.ay auf dem Rechner gehabt. Also hab ich bei euch hier im Trojaner-board mal nachgelesen und schon einiges erledigt. HijackThis Logfile vorher erstellt, Systemwiederherstellung deaktiviert, eScan im abgesicherten Modus, Logfile nachher...
da ich aber nicht wirklich Ahnung habe, wärs schön wenn sich mal jemand die Logfiles anschaut und mir sagt, ob ich noch was machen muss.
Vielen Dank im Voraus
Log vorher:
Logfile of HijackThis v1.98.2
Scan saved at 15:10:52, on 24.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\dit.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\MobiPocket.com\MobiPocket Reader\webcomp.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Mobipocket Web Companion.lnk = C:\Programme\MobiPocket.com\MobiPocket Reader\webcomp.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Log nachher:
Logfile of HijackThis v1.98.2
Scan saved at 14:24:23, on 25.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\dit.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
C:\WINDOWS\DitExp.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\MobiPocket.com\MobiPocket Reader\webcomp.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Mobipocket Web Companion.lnk = C:\Programme\MobiPocket.com\MobiPocket Reader\webcomp.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

*Christian* 05.10.2004 20:04
Beide Logs schauen eigentlich sauber aus.

Waldmensch 05.10.2004 20:19
Zitat:
Zitat von *Christian*
Beide Logs schauen eigentlich sauber aus.
Hallo Christian, vielen Dank für die schnelle Antwort. Heißt das, dass ich nichts mehr weiter machen muss? Bin ich das Ding jezt los?
Antivir hatte bei mir den Backdoor gemeldet, witzigerweise sofort nachdem ich Spybot und Adaware installiert habe und die beiden progs scannen ließ.
lg
Waldmensch

chaosman 05.10.2004 20:25
@Waldmensch
wie *Christian* schon postete, dein log schaut sauber aus
meinst du den hier
http://www.antiviruslab.com/descript...184063&lang=de
hat escan was gefunden?
poste anders doch die ergebnisse (nur die) von escan
chaosman

Waldmensch 05.10.2004 23:38
Ich hab jetzt mal "kurz" nochmal eScan durchlaufen lassen. Hier das Ergebnis:

File C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B7HFBT8W\simplebind[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed.

File D:\Downloads\Programme\Audiograpper Lame freedb\Audiograpper 1.82 Feb.2003\agsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Total Number of Files Scanned: 49143
Total Number of Virus(es) Found: 2
Total Number of Disinfected Files: 0
Total Number of Files Renamed: 1
Total Number of Deleted Files: 0
Total Number of Errors: 0

Wär sehr nett, wenn du / ihr euch das noch anschaut. Danke im Voraus
Waldmensch

Waldmensch 06.10.2004 19:06
Hallo,
nachdem ich kurz mal zur Arbeit musste, bin ich jetzt wieder online und bitte euch mein eScan-Ergebnis mal anzuschauen.
Danke

File C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B7HFBT8W\simplebind[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed.

File D:\Downloads\Programme\Audiograpper Lame freedb\Audiograpper 1.82 Feb.2003\agsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

PS:sollte ich irgendwelche Regeln verletzen, sagt es mir bitte: bin wirklich blutiger Anfänger, zumindest was den Umgang hier betrifft

*Christian* 06.10.2004 19:56
Lösche deine Temp. Internet Files.

Waldmensch 06.10.2004 20:21
Hab ich gemacht. Hoffe, daß mein Rechner sauber ist.

Vielen Dank für die Hilfe. Allen die hier ihre Zeit und ihr Wissen zur Verfügung stellen zolle ich großen Respekt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131