|
BDS/Agent.EC Hallo zusammen! Habe gerde die neuste AntiVir Version über meinen Rechner laufen lassen mit dem Ergebnis, dass er in C:/WINDOWS/System32 die Unterdatei mtwiy.exe gefunden hat und sie als das Backdoorprogramm BDS/agent.EC identifiziert hat. Gleichzeitig hat AntiVir unter C:/Windows/Prefech die Datei bla.exe gefunden und sie als TR/dldr.small.aaq.2 identifiziert. Ich habe schon etwas durch die Foren geschnuppert, leider aber kaum etwas verstanden. Bin nicht so firm in Computersachen. Antworten bitte auf Anfängerniveau. Was machen diese Programme? Kann ich sie einfach löschen (wurde von Antivir automatisch angeboten.)? Ist das Problem damit gelöst? Vielen Dank für Hilfe! Nachtrag: Habe vor lauter "posten" (?)und "fixen" (?) die Nerven verloren, bin nochmal mit AntiVir und Spybot drüber und ließ die Probleme automatische beheben. Bei einem weiteren Durchlauf wurden keine Warnungen mehr ausgesprochen. Bin ich nun geheilt oder verdammt? :confused: |
Bitte ein Log mit diesem Programm erstellen: http://www.trojaner-board.de/51130-a...ijackthis.html Inhalt hier ins Forum posten. |
Danke für Hilfe! Hoffe ich habe es richtig gemacht? Logfile of HijackThis v1.98.2 Scan saved at 12:18:37, on 15.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe D:\Downloads\hijackthis1982\HijackThis.exe |
Es fehlt die untere Hälft des Logfiles, bitte poste alles, was drinsteht (siehe auch andere Threads hier). |
Neuer Versuch: Logfile of HijackThis v1.98.2 Scan saved at 12:36:21, on 15.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe D:\Downloads\hijackthis1982\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253 |
Du solltest Service Pack 2 installieren und windowsupdate regelmäßig besuchen. O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab Das solltest du im abgesicherten Modus fixen: http://www.trojaner-board.de/63335-w...s-starten.html Update und scanne mit E-Scan wie beschrieben und poste dann das Ergebnis: http://www.trojaner-board.de/42731-escan-anleitung.html Es sieht aber so aus, als ob du die Viren so weit gelöscht hast. Für die Zukunft als Lektüre: http://www.mathematik.uni-marburg.de...ompromise.html |
O weh! O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab Was bedeuten diese Zeilen? Der Link funktioniert nicht! Das solltest du im abgesicherten Modus fixen Sorry, was soll ich fixen? Und was heißt fixen? Hab doch keine Ahnung!! :heulen: |
O weh! "O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab"" Was bedeuten diese Zeilen? Der Link funktioniert nicht! "Das solltest du im abgesicherten Modus fixen" Sorry, was soll ich fixen? Und was heißt fixen? Hab doch keine Ahnung!! :heulen:[/QUOTE] |
Vor den genannten Einträgen im Programm HijackThis ein Häckchen setzen und dann auf "FIX CHECKED" klicken. |
OKAY! Habe folgendes getan: 1. Systemwiederherstellung deaktiviert. 2. Im abgesicherten Modus neu gestartet 3. mit e-scan den PC überprüft und unten stehende "Virus Log Informatons" bekommen. 4. Hijackthis erneut gestartet und die Zeile "O16 DPF ...." gefixed. 5. PC neu gestartet 6. Sytemwiederherstellung neu aktiviert und nun´bin ich wieder hier - was mach ich denn nun mit den entsprechenden Fundtellen? Virus Log Informations des E-Scan: File C:\Windows\htpatch.exe tagged as not-a-virus: Tool.Win32.HTPatch.a. No Action Taken File C:\Windows\htpatch.exe tagged as not-a-virus: Tool.Win32.HTPatch.a. No Action Taken File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR infected by”Backdoor.Win32.Agent.ec” Virus. Action Taken: No Action Taken File C:\Windows\htpatch.exe tagged as not-a-virus: Tool.Win32.HTPatch.a. No Action Taken File E:\Driver\SIS_AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken File E:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus: Tool.Win32.Reboot. Not Action Taken |
Kannst du ignorieren, höchstens mal den Infected-Ordner von Antivir leeren und die von mir empfohlene Lektüre lesen sowie updaten. Die Tatsache, dass dich mal ein Backdoor "besucht" hat, ist schon mal kein gutes Zeichen, auch wenn -hoffentlich- Antivir die Infektion verhindert hat, zumindest ist mit normalen Mitteln nichts sichtbar geworden. In Zukunft aber an den Surfgewohnheiten arbeiten (siehe Link). |
Das heißt, ich bin gesund entlassen? Dann vielen Dank für die Hilfe! :huepp: P.S.: Habe das ServiepackII schon seit Wochen hier liegen. Habe aber gelesen, dass es durch die Installation zu Problemen mit Drucker, Nero-Burning und DSL-Modems kommen kann. Da ich den PC derzeit dringend brauche (Examensarbeit) habe ich mich nicht getraut zu installieren. Ist da was dran? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board