BDS.flood.AE.1 und Randon - Brauche HILFE
 

Hallo,

nachdem ich bemerkt habe, dass ich einen Virus eingefangen habe fing ich an zu googeln und bin dann zum Glück auf dieses Forum hier getroffen. Über BDS.flood.AE.1 konnte ich hier nichts finden, so erstelle ich ein neues Thema in der Hoffnung, dass Ihr mir weiterhelfen könnt.

Alles fing gestern an, damit das ich Kazaa installiert habe und aus reiner Neugier eine Software oder ein Programm(.exe) runtergeladen habe das irgendetwas mit eBay zu tun haben sollte (laut dem was dort stand).
Habe es dann gestartet und dann ist ganz kurz etwas auf dem Bildschirm eingeblendet und war wieder weg, so das ich nichts erkennen konnte. Nichts weiter geschah und ich löschte die Datei dann also.
Ich habe bemerkt, dass ich dann auf einmal etwas namens mIRC habe, was ich nie wollend installiert habe und habe dies dann mit Unlocker (habe ich aus einer Heft CD) entfernt, denn anders liesen sich die mIRC-dateien nicht entfernen.
Jetzt zeigt mir mein PC bei jedem Start an, das mIRC nicht ... und das ich OK klicken muss. Und AntiVir findet die Viren BDS.flood.AE.1 , BDS.flood.AE.2 und einmal hat es etwas mit Randon.plugin oder so etwas gefunden. Letzteres erscheint beim Virenscan nicht mehr.

Mein Betriebssystem ist XP home OEM und falls relevant Xammp ist auch drauf .

Hier noch der Bericht von AntiVir:
Erstellungsdatum der Reportdatei: Freitag, 14. Juli 2006 18:44


Job Name: 'Manuelle Auswahl'

Es wird nach 343586 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: *******-******-******
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: *********
Computername: *************

Versionsinformationen:
AVSCAN.EXE : 7.0.0.30 536616 21.03.2006 13:48:20
AVSCAN.DLL : 7.0.0.30 53288 21.03.2006 13:48:20
LUKE.DLL : 7.0.0.30 114728 21.03.2006 13:48:20
LUKERES.DLL : 7.0.0.30 32768 21.03.2006 13:48:20
ANTIVIR0.VDF : 6.32.0.60 4323840 27.03.2006 09:11:45
ANTIVIR1.VDF : 6.34.0.11 1424384 27.03.2006 09:11:48
ANTIVIR2.VDF : 6.34.0.75 207872 27.03.2006 09:11:48
ANTIVIR3.VDF : 6.34.0.102 57856 27.03.2006 09:11:49
AVEWIN32.DLL : 7.0.0.3 1167872 28.02.2006 16:06:46
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 12:05:53
AVREP.DLL : 6.34.0.100 2461736 27.03.2006 09:11:50
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 09:03:37
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47
NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:47


Beginn des Suchlaufs: Freitag, 14. Juli 2006 18:44


Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.

Die Registry wurde durchsucht ( 38 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\******\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*****\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\****@***.com\SharingMetadata\infected.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@***.com\SharingMetadata\pending.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@***.com\SharingMetadata\Working\database_12AC_717F_AC71_5E63\dfsr.db
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@**.com\SharingMetadata\Working\database_12AC_717F_AC71_5E63\fsr.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@***.com\SharingMetadata\Working\database_12AC_717F_AC71_5E63\fsrtmp.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\*****@****.com\SharingMetadata\Working\database_12AC_717F_AC71_5E63\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~DF742E.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\~DF7452.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\~DFE589.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\~DFE613.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{D93FF896-00B8-44C3-84C8-3CC3523157C0}\RP101\A0008510.ini
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Flood.AE.1
[INFO] Die Datei wurde nach 'A0008510.ini.VIR' umbenannt!
C:\System Volume Information\_restore{D93FF896-00B8-44C3-84C8-3CC3523157C0}\RP102\A0008513.ini
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Flood.AE.2
[INFO] Die Datei wurde nach 'A0008513.ini.VIR' umbenannt!
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\Perflib_Perfdata_ba0.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\ZLT00393.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\ZLT00396.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 14. Juli 2006 19:29
Benötigte Zeit: 45:04 min

Der Suchlauf wurde vollständig durchgeführt.

4328 Verzeichnisse wurden überprüft
154848 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
2 Dateien wurden umbenannt
6311 Archive wurden durchsucht
78 Warnungen
0 Hinweise

Hoffe Ihr könnt mir helfen.

Hallo doeb,

1.) lade dir CLearprog, und führe es aus, lösche alle temporären Verzeichnisse..

2.) Deaktiviere die Systemwiederherstellung, starte anschliessend dein System neu.

3.) Erstell ein Hijacklog (Anleitung in meiner Signatur!) und poste es wie beschrieben.

4.) führe einen eScan durch (Anleitung auch in meiner Signatur), poste den Report mit Hilfe der "find.bat"

Gruß
Daniel

Danke werde die genannten Punkte gleich mal durcharbeiten:D

Hijackthis log habe ich, escan kommt gleich nach:

Logfile of HijackThis v1.99.1
Scan saved at 20:56:48, on 14.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\vphc600.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\Idigicon\Internet Protector 2005\ip2005.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Philips\SPC 600NC PC Camera\TrayMin.exe
C:\Programme\Idigicon Anonysurf\SWebPriv.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\doeb\Desktop\Hijackthis\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F3 - REG:win.ini: run=c:\windows\mirc32.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [phc600] C:\WINDOWS\vphc600.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [GuardDog] C:\Programme\Idigicon\Internet Protector 2005\ip2005.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Idigicon Anonysurf.lnk = C:\Programme\Idigicon Anonysurf\SWebPriv.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: TrayMin.lnk = ?
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE6593C-078F-4718-A644-3B441A28222E}: NameServer = .209.104.2 209.104.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Den eScan kannst du abbrechen!
Die oben genannte Datei ist ein Backdoor, alias Backdoor.IRC.Spybuzz

Eine Bereinigung wäre zwecklos, ich kann dir nur noch eine Neuinstallation ans Herz legen. Nein, es gibt wirklich keine andere Möglichkeit diesen zu entfernen.
Weiteres dazu kannst du hier nachlesen --> http://www.trojaner-board.de/showthread.php?t=12154

Gruß
Daniel

DANKE für Deine hilfe Daniel. Da hab ich wohl etwas ganz mieses auf dem PC.
Werde gleich mal meine Nötigen Ordner aud CD brennen und das System neu aufsetzen.

Nochmals danke:)

Gruß

Deniz

Kein Problem :daumenhoc

Beachte dabei das keine ausführbaren Dateien ( *.exe ; *.com ) mit in das neue System übernommen werden, nicht das du dir die Arbeit um sonst machst und wieder von vorne anfangen musst...

LG Daniel :daumenhoc