Trojaner-Board - BDS/Agent EC

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BDS/Agent EC - Bitte Hilfe!!! (https://www.trojaner-board.de/10388-bds-agent-ec-bitte-hilfe.html)

BDS/Agent EC - Bitte Hilfe!!!

Hallo,
da hier schon so vielen Leuten super geholfen wurde, hoffe ich, dass ihr auch für mein Problem eine Lösung habt!
Etwa 2 Tage meldete Antivir: "Warnung: Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.EC".
Heute noch keine Meldung! Was sollte ich jetzt tun?

Was ist das für ein Programm, was macht es? Habe da so meine Befürchtungen betreffs online-banking etc.??!!

Ich bitte dringend um eure Hilfe - bin aber ziemlicher Laie, nur Anwender! Brauche Schritt-für-Schritt-Anleitung - befürchte ich!

Gruß
Karin

Hallo,

wo wurde der Backdoor.Agent.EC gefunden?

Info zu Backdoor.Agent.EC:

Zitat:

# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Lädt Code aus dem Internet herunter
# Installiert sich in der Registrierung

http://www.sophos.de/virusinfo/analy...ojagentec.html

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

hallo cidre,

danke dir, dass du dich meiner annimmst!

antivir sagt: "gefunden in:
C:\SYSTEM VOLUME INFORMATION\_RESTORE(COD98CBA-6672-47B1-9E43-2A9DE301BFBF)\RP227\A0034650.EXE"

Logfile of HijackThis v1.98.2
Scan saved at 22:53:18, on 03.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\Telekom\Tksoft\tkphone.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\XXXXXXXXXXXXXXXXXXX.000\Eigene Dateien\Pruefung.com\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe
O4 - Startup: TK-Phone.lnk = C:\Programme\Telekom\Tksoft\tkphone.exe
O4 - Global Startup: eBay Toolbar.LNK = C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {F9043C85-F6F2-101A-A3C9-08002B2F49FB} (Microsoft Common Dialog Control, version 5.0 (SP2)) - http://activex.microsoft.com/controls/vb5/comdlg32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82D8DC10-5CB3-4A3F-85CA-D7520E9BDDEB}: NameServer = 192.168.2.1

ich denke, dass ich das hinbekommen habe! HOFFENTLICH!!! ;-)

gruß
karin

nu issa leider offline :(

Lade und scanne mit eScan AntiVirus wie beschrieben und poste die Virus Log Information.
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Puuuh, irgendwie war bei mir alles anders als beschrieben!?

Habe den Ordner bases auf c erstellt, konnte aber nicht entpacken in viele kleine Ordner (die ich sehen konnte), sondern nur Doppelklick auf Ordner war möglich, habe mit diesem Doppelklick das Programm direkt geöffnet. Habe dort dann scan gedrückt und dann wurde gescannt!
Habe im abgesicherten Modus gescannt, wie von euch beschrieben, habe aber die Ssystemwiederherstellung NOCH NICHT deaktiviert.
Ich hoffe, das war alles korrekt?

Was muss ich jetzt tun, denn wie der Scan zeigt, ist da ja wohl nicht alles im grünen Bereich!?
Gruß
Karin

Sat Dec 04 10:17:37 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Dec 04 10:17:37 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\A0023188.EXE.VIR
Sat Dec 04 10:17:38 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\sell.VIR
Sat Dec 04 10:20:50 2004 => File C:\Programme\AVPersonal\INFECTED\sell.VIR infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.

Sat Dec 04 10:20:50 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMP10C.TMP.VIR
Sat Dec 04 10:20:50 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMP16B.TMP.VIR
Sat Dec 04 10:20:50 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMP16C.TMP.VIR
Sat Dec 04 10:20:50 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMPC1.TMP.VIR
Sat Dec 04 10:20:50 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMPC2.TMP.VIR
Sat Dec 04 10:20:50 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMPC3.TMP.VIR
Sat Dec 04 10:20:50 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMPC4.TMP.VIR
Sat Dec 04 10:20:50 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMPC5.TMP.VIR
Sat Dec 04 10:20:51 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMPC6.TMP.VIR
Sat Dec 04 10:20:51 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMPCD.TMP.VIR
Sat Dec 04 10:20:51 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMPD0.TMP.VIR
Sat Dec 04 10:43:07 2004 => File C:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP227\A0034650.exe infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.
Sat Dec 04 10:43:08 2004 => File C:\System Volume Information\_restore{C0D98CBA-6672-47B1-9E43-2A9DE301BFBF}\RP227\A0034677.exe infected by "Trojan-Downloader.Win32.Small.aaq" Virus. Action Taken: No Action Taken.
Sat Dec 04 11:11:52 2004 => Total Files Scanned: 76099
Sat Dec 04 11:11:52 2004 => Total Virus(es) Found: 3
Sat Dec 04 11:11:52 2004 => Total Disinfected Files: 0
Sat Dec 04 11:11:52 2004 => Total Files Renamed: 0
Sat Dec 04 11:11:52 2004 => Total Deleted Files: 0
Sat Dec 04 11:11:52 2004 => Total Errors: 2
Sat Dec 04 11:11:52 2004 => Time Elapsed: 01:14:46
Sat Dec 04 11:11:53 2004 => Virus Database Date: 2004/12/03
Sat Dec 04 11:11:53 2004 => Virus Database Count: 111264

Hallo!
Es wäre supernett, wenn sich jemand auf den u. g. escan beziehen und mir sagen würd, was ich machen soll! Das kann ja da so nicht bleiben...

Seit gestern meldet Antivir immer mal wieder die Warnung!! So ein verdammter Mist..... :heulen:

Ich hoff, es hat jemand Erbarmen und hilft mir weiter!!!!!
Gruß
Karin

Wenn du die Systemwiederherstellung deaktivierst, danach neu startest und diese wieder aktivierst, dann dürfte sich AntiVir nicht mehr beklagen.

Allerdings würde ich aus Sicherheitsgründen dies hier bevorzugen:
http://www.trojaner-board.de/showpos...28&postcount=2

hallo,
aber lt. escan war er doch noch nicht aktiv, der trojaner! oder?

kann man ihn nicht rauslöschen?

oder würde es reichen eine systemwiederherstellung zu machen, z. b. 1 monat zurück?

wenn das alles nicht ausreicht, ich habe eine application support disc (aldi-pc). damit könnte ich den auslieferungszustand wiederherstellen. sollte damit dann der trojaner weg sein?

gruß
karin

Zitat:

aber lt. escan war er doch noch nicht aktiv, der trojaner! oder?

Er war bereits aktiv, deswegen wurde er auch mitgesichert.

Zitat:

oder würde es reichen eine systemwiederherstellung zu machen, z. b. 1 monat zurück?

Nein.

Zitat:

damit könnte ich den auslieferungszustand wiederherstellen. sollte damit dann der trojaner weg sein?

Das wäre die beste Möglichkeit. Vergiss aber nicht deine persönlichen Daten zu sichern und dein System dementsprechend VOR der ersten I-net Verbindung abzusichern.
http://www.trojaner-board.de/showpos...28&postcount=2

Hallo,
ich habe das gleiche Problem mit der Meldung bezüglich des BDS/Agent.AY Meldung und bekomme sie einfach nicht weg.

Ich habe auch mal wie im alten Threat empfohlen den Scan gemacht:

Logfile of HijackThis v1.98.2
Scan saved at 14:28:45, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\ICQ\NDetect.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Opera7\opera.exe
C:\Programme\Outlook Express\msimn.exe
C:\unzipped\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.technoforum.de/
F3 - REG:win.ini: run=
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW Autostart] "C:\Programme\YAW\yaw.exe"
O4 - Startup: FRITZ!dsl.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {DC187740-46A9-11D5-A815-00B0D0428C0C} - http://www.wella.de/consumer/salon_p...ton3/setup.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7614D4F1-6EB6-460A-9F98-3C737B0E8B79}: NameServer = 192.168.122.252,192.168.122.253

Bin für jede Hilfe sehr dankbar da ich mich selbst mit solchen Dingen eher weniger auskenne :confused:

Lösche dies im abg. Modus:

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEI

Fixe dies mit HijackThis:

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe (file missing)
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab

Update dein System: www.windowsupdate.com
Alle Updates/Patches installieren.

Aktuallisiere dein Java: http://www.java.com/de/download/windows_xpi.jsp
Altes Java Sun vorher deinstallieren.

Scanne mal im abg. Modus mit eScan:
http://www.trojaner-board.de/42731-escan-anleitung.html

Lösche die gefundenen Dateien manuell im abg. Modus.

Danke schonmal für die Hilfe Christian!

Die .../GMT.exe kriege ich im abgesicherten Modus allerdings nicht gelöscht, kann ich ansonsten probieren den ganzen Ordner raus zu kicken oder braucht man den irgendwo zu?
Oder soll ich die Datei sonst mal im normalen Modus zu löschen versuchen?

hallo,
hier bin ich auch nochmal!

ich ringe immer noch damit, den auslieferungszustand wiederherzustellen.

habe gerade nachgesehen, habe ein backup meiner daten vom september dieses jahres!

würde dies vielleicht eine alternative sein??????? :confused:
gruß
karin

für alle, die noch ein DOS auf der Kiste haben und irgendwas unter Windows nicht wegkriegen:

Genau!!! den Pfad aufschreiben, wo der Mist liegt.

Dann unter DOS
bei C:\ eingeben deltree c:\mist
und enter, dann isses weg!

Aber ganz genau den Pfad angeben und den Leerschritt in der Befehlszeile machen.

:kloppen:

@lara162
du kannst vorher versuchen mit den taskmanager den prozess zu beenden, danach löschen.
wenn das nicht funktioniert, dann versuche es mit AmokDelay
download

chaosman

Zitat:

Zitat von chaosman

@lara162
du kannst vorher versuchen mit den taskmanager den prozess zu beenden, danach löschen.
wenn das nicht funktioniert, dann versuche es mit AmokDelay
download

chaosman

scheint ja ein ganz nettes tool zu sein, habe es mir gleich dl,
sonst geht die konservatieve art = im task gucken was und wo das pferd ist und weiter unten wie in meiner post
:knuddel:

Ok, habs geschafft die Datei zu löschen und alle anderen Schritte durchzuführen.

Der abschließende Scan hat nichts mehr gefunden wie es aussieht (es sei denn die Errors sind noch problematisch?!) und so musste bzw. konnte ich auch manuell nichts mehr löschen

=> Total Disinfected Files: 0
=> Total Files Renamed: 0
=> Total Deleted Files: 0
=> Total Errors: 8
=> Time Elapsed: 00:41:27
=> Virus Database Date: 2004/12/03
=> Virus Database Count: 111264

@ rina10,

es wäre dennoch sicherer Dein System zu URL=http://www.formatieren.de/schritt/index.htm]formatieren[/URL] und es neu aufzusetzen, analog der Empfehlung von Cidre.

SD

hallo,
@shadowdance:

ich bin jetzt wieder da.

habe gerade,bevor ich wieder zu euch gestoßen bin, folgendes gemacht:

habe die systemwiederherstellung deaktiviert, runtergefahren, und wieder aktiviert.
habe dann antivir deinstalliert und neu installiert, weil sich dort ja (siehe escan) mist befand.

habe dann mein sauberes backup von september eingespielt. grade escan durchlaufen lassen und nix mehr gefunden!

hoffte eigentlich, dass das problem jetzt beseitigt sei! :headbang:

wollte jetzt alles mögliche ändern, passwörter etc. (gehe über router mit nat ins netz)

du meinst, das reicht nicht???
gruß
karin

ich möchte mich noch mal ganz herzlich für die hilfe bedanken!

habe jetzt, wie ihr mir geraten habt, das system neu aufgesetzt! *grusel*!!!
(nicht mal eure smileys kann ich jetzt benutzen, alles abgestellt?? - keine ahnung, welche einstellung das ist...)
ciao
karin

@ rina10

erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

Lies Dir dies hier gründlich durch und lade Dir einen anderen Browser runter:

Pflichtlektüre:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

SD