|
wie krieg ich diesen BDS Agent los? hallo, ich weiß nix über irgendwelche backdoor-viren, hab aber eben gelesen, dass ihr wisst, was man machen muss, wenn man diesen BDS Agent hat. also, was muss ich tun (in normalem deutsch bitte!)? Logfile of HijackThis v1.98.2 Scan saved at 22:48:57, on 15.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Judit\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe |
Hi Judit, wo wird dir denn dieser BDS-Agent gemeldet, also in welcher Datei und welchem Pfad genau? Erstelle mal bitte für HJT ein eigenes Verzeichnis, man sollte es beim Fixen dann lieber nicht in einem temporären laufen lassen. |
mein antivirus-programm (antivir) meldet mir das in unregelmäßigen abständen, d.h. es fragt mich, was mit der datei gemacht werden soll. ich hab sie dann immer löschen lassen, aber die meldung kam kurz danach oder am nächsten tag wieder. dieser bds agent soll sich irgendwo auf der festplatte c in dokumente und einstellungen aufhalten... :confused: ich hab diese 2 hijack-dateien mal in einen eigenen ordner unter c/programme verfrachtet, is das so richtig oder sollen die auf den desktop? danke für deine hilfe! pippilotta (ey, woher kennst du meinen namen?) |
Hallo, mache mal bitte folgendes: Zitat:
|
okay, ich hab dieses escan runtergeladen und in den neuen ordner entpackt, aber da ist keine datei namens kavupd.exe! es gibt zwei kavupd-dateien, aber die kann ich beide nicht öffnen... komisch. was nun? |
@pippilotta kuckst du hier http://www.trojaner-board.de/42731-escan-anleitung.html (ey, woher kennst du meinen namen?) C:\Dokumente und Einstellungen\Judit\Lokale Einstellungen\Temp\HijackThis.exe chaosman |
Hallo pippilotta, mach mal bitte Folgendes: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren. Wenn Du den eScan vorschriftsgemäß in den Ordner c:\bases entpackt hast, solltest Du nun eine Datei "KAVUpd.dll" und eine Datei "kavupd.exe" entdecken. Die Datei "kavupd.exe" sollst Du nicht öffnen sondern mit der linken Maustaste doppelt anklicken, damit öffnet sich ein Dos-Fensterchen und nun updatet sich der eScan im Netz. Wenn der Update beendet ist, was ein bisschen dauert, gehst Du in den abgesicherten Modus, offline, machst alle anderen Programme aus und läßt den Scan laufen. Wenn der Scan fertig ist, das dauert ca 1 Stunde .. kann auch länger sein, speicherst Du den Report ab, öffnest die "mwav.log" und gibst das Ergebnis folgendermassen ins Forum: Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.[/i]" (Zitat Cidre) Viel Erfolg! SD |
ja, auf dieser seite hab ich gelesen, dass ich escan aktualisieren muss. also hab ich es runtergeladen, den neuen ordner bases erstellt und das ding da hinein entpackt. aber die datei kavupd.exe, auf die ich laut anleitung doppelklicken soll, gibts bei mir nicht. :confused: |
@shadowdance gut, ich versuchs mal! danke. |
okay, hab jetzt alles gemacht. es wurden 22 viren gefunden, aber ich hab jetzt nur diese hier unter "infected" gefunden. hilft das weiter? Tue Nov 16 21:55:24 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue Nov 16 21:55:24 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\CPUFPSAB.EXE.VIR Tue Nov 16 21:55:24 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\PNUDPTCSP.EXE.VIR |
gerade hat sich anti-vir gemeldet und folgende dateien als infiziert gemeldet: C:\PROGRAMME\GEMEINSAME DATEIEN\QDRAADSE\BBSEDSEC\CPUFPSAB.EXE C:\Programme\Gemeinsame Dateien\qdraadse\qanefforbt\felqtcsfmu.bdf |
Zitat:
gib bitte alle gefundenen Viren an, so wie oben beschrieben. ---------- Zitat:
Lieben Gruss SD |
|
das is bestimmt ne total bescheuerte frage, aber wie finde ich denn den namen dieser viren heraus???? ich kann nicht alle 22 angeben, weil sich nur diese drei (siehe unten) zeigen, wenn ich unter "infected" suche. ich weiß nur, dass es 22 sind, weil das bei diesem eScan dastand, angezeigt hat es die aber nicht. mann, ist das nervig... :headbang: |
Du öffnest die "mwav.log" im Verzeichnis C:\bases und gibst das Ergebnis folgendermassen ins Forum: Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. Hast du das so gemacht? Dann müsstest du eigentlich mehr finden als nur diese 3 Einträge |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board