Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Backdoorprogramm BDS/Agent.AY (https://www.trojaner-board.de/11201-backdoorprogramm-bds-agent-ay.html)

maf 25.12.2004 14:19
Backdoorprogramm BDS/Agent.AY
 
Hi Leute. Bin seit zwei Wochen im Netz und habe in Sachen PC und Internet keine Ahnung. Und seit kurzem ist das Backprogramm BDS/Agent.AY auf meinem Rechner und die dauernde Fehlermeldung vom Antivir. Hab im Forum nachgeschaut konnte aber nicht viel verstehen. Habe mir aber HiJackThis runtergeladen eine logfile erstellen lassen. Kann jede hilfe brauchen die man bekommt.bitte bitte bitte ...........


Hier hijackthis.log:
Logfile of HijackThis v1.99.0
Scan saved at 12:52:50, on 25.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
E:\deamon\daemon.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Windows Media Player\wmplayer.exe
E:\eMule\emule.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
E:\mozilla\firefox.exe
F:\downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=...E2&ver=2.1.0.0
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\ADOBE READER\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\deamon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "E:\T-Online\Dialerschutz-Software\defender.exe"
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Cl.../OCI/setup.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6466A24A-E89A-4949-8744-0FCAB41F1554}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDBC072B-FE62-418B-BB11-418918E6DCB5}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Dialerschutz Dienst - Unknown - E:\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: Symantec Licensing Detect Internet Connection - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

chaosman 25.12.2004 14:43
@maf
es würde helfen wenn du denn pfad auch gepostet hättest.
zur dein agent.ay
http://www.sophos.de/virusinfo/analy...ojagentay.html
wechsle in den abgesicherten modus und fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c...DE2&ver=2.1.0.0
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
dieser eintrag kenne ich nicht, wenn du denn nicht kennst, dann fixen
O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
dieser eintrag kenne ich nicht, wenndu denn nicht kennst, dann fixen
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/C...2/OCI/setup.exe
danach manuell löschen
C:\WINDOWS\web\related.htm
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
wenn du dieses programm nicht kennst, dann löschen
C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE

das hier ist eine spyware und malware schleuder, es liegt bei dir dieser zu löschen
E:\eMule\emule.exe

danach neu starten, und system und IE updaten.
danach ein neues logfile posten
chaosman

maf 25.12.2004 14:51
Hi chaosman
Meinst Du etwa dieses hier:
C:\Programme\Gemeinssame Dateien\ECJRLBND\EBPNDPRBEN\JJELNTDPH.EXE

Was meinst Du mit "abgesicherter Modus" .
Beim start vom HiJackThis öffnet sich ein fenster bevor man den scan durchführt
wo häkchen setzen kann, meinst Du das.

chaosman 25.12.2004 14:54
@maf
lass den hier online überprüfen.
poste nur wenn was gefunden wird.

chaosman

maf 25.12.2004 15:05
@ chaosman

Was meinst Du mit "abgesicherter Modus" .
Beim start vom HiJackThis öffnet sich ein fenster bevor man den scan durchführt
wo häkchen setzen kann, meinst Du das.
maf

chaosman 25.12.2004 15:07
@maf
kuckst du hier
dann mit HJT scannen, dann häkchen setzen an die positionen die ich dir gepostet habe, dann Fix Checked klicken.
anleitung
bitte lesen
chaosman

maf 25.12.2004 16:02
@chaosman

Habe im "Abgesicherten Modus" das gemacht was du gesagt hattest und dann das Antivir drüber laufen lassen. Es sieht bis jetzt gut aus.
vielen Dank noch einmal :aplaus:

grüße Maf

schlicky 04.01.2005 14:14
Es Ist Kein Virus !!!
 
Hallo Liebe Leute,

es handelt sich hierbei NICHT um einen Virus, sondern um Adaware/Spyware .

Bitte lest Euch dieses Posting durch und dann versteht ihr es !!!
klicken>> AntiVir Meldung "BDS/Agent.AY" ist KEIN VIRUS !!! (99%tig)

Also einfach den Mist deinstallieren und dann wieder glücklich und ohne Warnungen am PC arbeiten!


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19