Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BDS/Agent.ay - was nun? (https://www.trojaner-board.de/27477-bds-agent-ay.html)

Verenawd 11.03.2006 17:35
BDS/Agent.ay - was nun?
 
Hallo zusammen,

gestern fand mein Antivir Programm folgenden Virus BDS/Agent.ay.
Meine kläglichen Versuche, dieses Ding loszuwerden waren leider vergeblich.
Habe mir schon eScan runtergeladen und durchlaufen lassen. Er hat auch jede Menge Mist gefunden. Was muss ich jetzt tun?

Vielen Dank schonmal von einer völlig verzweifelten Verena...

MightyMarc 11.03.2006 17:57
Hi Verena,

welche Datei hat Antivir bemängelt? Diese Datei bitte bei jotti (siehe meine Signatur) hochladen und prüfen lassen. Teile das Ergebnis bitte mit. Zudem bitte ein HJT-Log gemäß dieser Anleitung erstellen und hier posten.
Sollte sich der Fund von AntiVir bestätigen, wirst Du um ein Neuaufsetzen des Systems vermutlich nicht rumkommen.

Gruß

Marc

Verenawd 11.03.2006 18:35
Erstmal vielen Dank für die schnelle Antwort!

Hier die Log Datei von HJT:

Logfile of HijackThis v1.99.1
Scan saved at 18:16:34, on 11.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SemanticInsight] C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B918AB4-C177-43C0-810E-E04CBEA5C725}: NameServer = 62.72.64.241 62.72.64.237
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

und hier die Viren von eScan, in etwa zumindest...


Sat Mar 11 13:51:20 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sat Mar 11 13:51:20 2006 => Loading Spyware Signatures from new External Database (Size: 153719).
Sat Mar 11 13:51:23 2006 => Indexed Spyware Databases Successfully Created...

Sat Mar 11 13:51:23 2006 => System found infected with gain.gator Spyware/Adware ({21ffb6c0-0da1-11d5-a9d5-00500413153c})! Action taken: Keine Aktion vorgenommen.
Sat Mar 11 13:51:23 2006 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: Keine Aktion vorgenommen.
Sat Mar 11 13:51:23 2006 => System found infected with mybar Spyware/Adware ({0494d0d9-f8e0-41ad-92a3-14154ece70ac})! Action taken: Keine Aktion vorgenommen.
Sat Mar 11 13:51:24 2006 => System found infected with myway Spyware/Adware ({0494d0d4-f8e0-41ad-92a3-14154ece70ac})! Action taken: Keine Aktion vorgenommen.
Sat Mar 11 13:51:25 2006 => Offending Key found: HKLM\Software\cydoor !!!
Sat Mar 11 13:51:25 2006 => Object "cydoor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:25 2006 => Offending Key found: HKLM\Software\gator.com !!!
Sat Mar 11 13:51:25 2006 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:25 2006 => Offending Key found: HKLM\Software\kazaa !!!
Sat Mar 11 13:51:25 2006 => Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:25 2006 => Offending Key found: HKLM\Software\myway !!!
Sat Mar 11 13:51:25 2006 => Object "my way speedbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:25 2006 => Offending Key found: HKLM\Software\perfectnav !!!
Sat Mar 11 13:51:25 2006 => Object "perfectnav Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:25 2006 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: cmesys !!!
Sat Mar 11 13:51:25 2006 => Object "cmesys Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:25 2006 => Offending file found: C:\WINDOWS\smdat32a.sys
Sat Mar 11 13:51:25 2006 => System found infected with altnet Spyware/Adware (smdat32a.sys)! Action taken: Keine Aktion vorgenommen.

Sat Mar 11 13:51:26 2006 => Offending Folder found: C:\WINDOWS\TEMP\adware
Sat Mar 11 13:51:26 2006 => Object "gator-gain-claria Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:26 2006 => Offending Folder found: C:\WINDOWS\TEMP\altnet
Sat Mar 11 13:51:26 2006 => Object "topsearch Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:26 2006 => Offending file found: C:\WINDOWS\System32\start.cdi
Sat Mar 11 13:51:26 2006 => System found infected with cydoor Spyware/Adware (start.cdi)! Action taken: Keine Aktion vorgenommen.

Sat Mar 11 13:51:26 2006 => Offending Folder found: C:\Programme\gator.com
Sat Mar 11 13:51:26 2006 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:26 2006 => Offending Folder found: C:\Programme\kazaa
Sat Mar 11 13:51:26 2006 => Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:26 2006 => Offending Folder found: C:\Programme\Gemeinsame Dateien\cmeii
Sat Mar 11 13:51:26 2006 => Object "cmesys Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:26 2006 => Offending Folder found: C:\Programme\Gemeinsame Dateien\gmt
Sat Mar 11 13:51:26 2006 => Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:27 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\autostart\gstartup.lnk
Sat Mar 11 13:51:27 2006 => System found infected with gator Spyware/Adware (gstartup.lnk)! Action taken: Keine Aktion vorgenommen.

Sat Mar 11 13:51:27 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\gain publishing
Sat Mar 11 13:51:27 2006 => Object "claria Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:28 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\autostart\gstartup.lnk
Sat Mar 11 13:51:28 2006 => System found infected with gator Spyware/Adware (gstartup.lnk)! Action taken: Keine Aktion vorgenommen.

Sat Mar 11 13:51:28 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\gain publishing
Sat Mar 11 13:51:28 2006 => Object "claria Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Mar 11 13:51:28 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\gstartup.lnk
Sat Mar 11 13:51:28 2006 => System found infected with gator Spyware/Adware (gstartup.lnk)! Action taken: Keine Aktion vorgenommen.

Sat Mar 11 13:51:46 2006 => System found infected with altnetbde Spyware/Adware (adm.exe)! Action taken: Keine Aktion vorgenommen.

Sat Mar 11 13:51:46 2006 => System found infected with altnetbde Spyware/Adware (altnet signing module.exe)! Action taken: Keine Aktion vorgenommen.

Sat Mar 11 13:51:46 2006 => System found infected with altnetbde Spyware/Adware (adm.exe)! Action taken: Keine Aktion vorgenommen.

Sat Mar 11 13:51:46 2006 => System found infected with altnetbde Spyware/Adware (altnet signing module.exe)! Action taken: Keine Aktion vorgenommen.

++++++++++++++++++++++++++++++++++++

Woher habt ihr eigentlich das ganze Wissen. Kann man sich das wirklich selbst beibringen????


Wie kriege ich die infizierten Dateien, die im Antivir in Quarantäne sind, in Jotti hochgeladen?? Muss ich die erst wiederherstellen???

Grüße, Verena

Rene-gad 11.03.2006 19:53
@Verenawd
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Das fehlende SP2 liegt im Grunde deiner Probleme. Es könnte sein, dass jemand aus Deinem Bekanntenkreis sich mit dem Problem gut auskennt. Dann kann er/sie die Spyware-Einträge entfernen und SP2 und nachfolgende Updates installieren. Dir persönlich traue ich es nicht zu.
Besoge dir bitte SP2-CD und installiere Windows neu. Halte Dich an diese Anleitung.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19