|
BDS/Agent.AY brauche eure Hilfe Hallo an alle, seit über einer Woche habe ich den BDS/Agent in meinem PC und kann ihn leider nicht löschen, er befindet sich in der Datei: Programme/Gemeinsame Dateien/NTUSFUNN/LLAORFCL/SFRNMFRS.EXE und in """"""""""""""""""""""""""""""""""""""""""""""""""""""""""/NMFOASNPNR/FQRLMEEBD.EXE Ich verfolge euer Forum schon seit einigen Tagen und habe nun auch einen Hijack gemacht. Hoffe ich habe es richtig gemacht. Bitte sagt mir welche dateien ich fixen kann. Ich habe windows 98 und eine windwosupdate konnte ich leider nicht machen, hatte nur einen weißen Bildschirm. Freue mich auf eine Antwort elli Logfile of HijackThis v1.98.2 Scan saved at 12:29:30, on 25.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\PTSNOOP.EXE C:\WINDOWS\SYSTEM\CMMPU.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE C:\WINDOWS\SYSTEM\PRINTRAY.EXE C:\WINDOWS\SYSTEM\CNXDSLTB.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\0190 WARNER\WARN0190.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\WEBWASHER\WWASHER.EXE C:\PROGRAMME\DATE MANAGER\DATEMANAGER.EXE C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE C:\WINDOWS\SYSTEM\SYSEDIT.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\ABLAGE\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.skynet.be/en/altavista R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F1 - win.ini: load=ptsnoop.exe F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE" O4 - HKLM\..\Run: [Microsoft64] C:\WINDOWS\SYSTEM\swchost.exe O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [Welcome] C:\WINDOWS\Welcome.exe /R O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [Microsoft64] C:\WINDOWS\SYSTEM\swchost.exe O4 - HKCU\..\Run: [WebWasher] C:\PROGRAMME\WEBWASHER\WWASHER.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: rose - Doorkeeper.lnk = C:\WINDOWS\FONTVIEW.EXE O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx |
Hallo ads-elli, - scanne bitte mit dem online-scan von Kaspersky folgende Dateien: C:\WINDOWS\SYSTEM\CMMPU.EXE C:\WINDOWS\SYSTEM\CNXDSLTB.EXE C:\WINDOWS\SYSTEM\SYSEDIT.EXE C:\WINDOWS\Welcome.exe /R - teile uns das Ergenis der Überprüfung mit und sende diese Dateien dann, wenn sie infiziert sein sollten an partytime-germany.ice@web.de mit Hinweis auf diesen Thread. - lade dann den eScan runter, erstelle hierfür manuell einen neuen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung im Thread: Thread-6083 - teile uns das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt. - erstelle ein neues Logfile mit Hijack This und poste es. SD |
Hallo Shadowdance, vielen Dank für deinen schnellen Tipp. Ich habe gerade 2x alle 4 Dateien scannen lassen, leider ohne Befund. Vielleicht fällt Dir noch etwas gutes ein. vlg elli |
Hier ist der Übeltäter: O4 - HKCU\..\Run: [Microsoft64] C:\WINDOWS\SYSTEM\swchost.exe Fixen und löschen. Danach ein neues Log-File posten. |
Zitat:
Aber super Dein Fund, ich werde mich gleich an die Arbeit machen und die Datei fixen, mal sehn obs klappt. vlg elli |
@ads-elli mit HJT scannen, häkchen setzen, fix checked, danach save log, und log speichern. dieses log hier im board posten mit copy and paste ich würde noch mal scannen, du hast ein paar ungute sachen im system chaosman |
Hallo ads-elli, ist doch gut, dass die Dateien ohne Befund sind. Hast Du den eScan bereits durchgeführt? Ich hatte Dir den Link in meinem Posting gegeben. Geh genau nach der bebilderten Anweisung vor. Und .. Du hattest ja schon ein Logfile gepostet, wenn Du den eScan gemacht hast, erstellst Du ein weiteres Logfile, sowie das Eingangsposting von Dir: Zitat:
Wenn Du Fragen hast, stell sie. Was wir beantworten können, beantworten wir. SD |
HI an alle lieben Helfer, das mit diesem Forum ist eine tolle Sache(mache ich zum ersten Mal), ich schicke nun den neueLogfile of HijackThis v1.98.2 Scan saved at 21:55:53, on 29.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\PTSNOOP.EXE C:\WINDOWS\SYSTEM\CMMPU.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE C:\WINDOWS\SYSTEM\PRINTRAY.EXE C:\WINDOWS\SYSTEM\CNXDSLTB.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\0190 WARNER\WARN0190.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\WEBWASHER\WWASHER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE C:\PROGRAMME\DATE MANAGER\DATEMANAGER.EXE C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\ABLAGE\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.skynet.be/en/altavista R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...07&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home F1 - win.ini: load=ptsnoop.exe F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE" O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [WebWasher] C:\PROGRAMME\WEBWASHER\WWASHER.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: rose - Doorkeeper.lnk = C:\WINDOWS\FONTVIEW.EXE O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx n Log-file Die Datei ist weg, heißt dass der virus ist jetzt auch endlich weg, sicher nein, denn gerade hat er sich wieder auf meinem Bildschirm gemeldet!!!! VLG ELLI |
Hallo ads-elli, 1.) lade den eScan runter, erstelle hierfür manuell einen neuen Ordner (=Verzeichnis) c:\bases, update den eScan online führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung im Thread-6083 mit Downloadlink 2.) Teile uns das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt. 3.) erstelle ein neues Logfile mit Hijack This poste es bitte. Lieben Gruss SD |
Zitat:
Haoll Shadowdance danke, aber den eSkan habe ich noch nicht heruntergeladen, da ich keinen positiven Befund hatte, sollte ich es trotzdem tun? ELLI |
Hallo ads-elli, mit dem Online-Scan hast Du 4 einzelne Dateien überprüft. Diese vier Dateien sind ok. Um Deine Festplatte insgesamt zu überprüfen, musst Du den eScan laufen lassen. Du gehst genau nach Anleitung vor, setzt die Häk'chen .. schau Dir die Abbildung bitte genau an .. und lass dann den eScan Dein gesamtes System überprüfen. Vergiss nicht, dass Du den eScan direkt nach dem Download updatest, das muss sein. Und lass ihn dann offline, im abgesicherten Modus laufen. Bitte lies Dir die Anleitung ganz genau und langsam durch. Dieser Scan-Vorgang dauert ziemlich lange .. ca 1 Stunde, abhängig wieviele Dateien auf Deinem Computer sind .. mach's Dir gemütlich, lasse ihn laufen, er entfernt oder benennt alle schädlichen Dateien um, und wir wollen dann gerne von Dir wissen, welche Viren (Namen) gefunden worden sind. Bis nachher, Shadowdance |
Hallo shadowdance, ok, das ist ja eine supergenaue Anleitung, ICH traue ich mir das alleine nicht zu, da ich mit dem abgesichertem modus nicht klar komme, hatte letztens mit einem Freund auch nur 1x geklappt, mit der F8 Taste beim PC-hochfahren. ich warte bis er mir noch mal helfen kann und dann hoffe ich nach erfolgter Arbeit und hoffentlich geglücktem skannen auf Deine und Eure super Hilfe. DANKE ELLI |
Hallo ads-elli, es geht ganz einfach .. probiere es aus: "Neustart von Windows 98 in den abgesicherten Modus: Das geschieht in folgenden Schritten. 1. Neustart des Computers. 2. Windows 98 Während des Neustarts, "Strg"-Taste gedrückt halten bis das Windows 98 Startmenü erscheint. 3. Windows 98 im "abgesicherten Modus starten" auswählen und mit "Enter"-Taste bestätigen." [- aus: www.bsi.bund.de zitiert -] Nur Mut, der Computer geht nicht dabei kaputt ... ;) SD |
Hallo an alle Helfer, vielen herzlichen Dank für eure Tipps, aber so einfach scheint das alles bei mir nicht zu gehn. Habe mit dem Link von Seite 6083 den escan runtergeladen und in ein neues Verzeichnis c:\bases gespeichert. Dort steht jetzt bei mir eine Datei mwav.exe, deren Icon aussieht wie eine DOS-Datei. Was ich verwirrend finde ist, dass der escan-Screenshot von Seite 6083 aber so aussieht wie ein Windows-Programm. Danke für den Tipp mit der Strg-Taste! So ist der Start im abgesicherten Modus wenigstens kein Problem mehr. Im abgesicherten Modus unter Windows lässt sich escan aber nicht starten (Meldung: keine gültige Win32 Anwendung). Versuche ich aber einen Start im DOS-Fenster, kriege ich wieder die Meldung, dass nicht genügend Arbeitsspeicher zur Verfügung steht. Brauche ich hierfür etwa noch eine ganz bestimmte DOS-Modus-Startkonfiguration? Das Windows-Sicherheits-Update habe ich zum Glück inzwischen auch hingekriegt. Dafür hab ich mir inzwischen auch noch was Neues eingefangen, nämlich: C:\WINDOWS\CODER\_8-SMS-4-0-.EXE Dialer DIAL/Generic Habe erstmal "Löschen" angewählt und hoffe, dass das richtig war. Vielleicht bin ich dank des Tipps von Cidre den BDS/Agent.AY sogar schon losgeworden, denn die Virenmeldung mit dem Dialer war eben die einzige. Aber um das genau feststellen zu können, müsste ich wohl erstmal escan gestartet kriegen ... Herzlichen Dank nochmal an euch alle für eure zahlreichen Hilfestellungen! Viele Grüße, elli |
Die heruntergeladene mwav.exe ist nicht die eigentliche Startdatei von E-Scan, sondern nur die gepackte Installationsdatei. Du musst sie also nicht nach c:\bases kopieren (wobei das egal ist, du kannst sie auch in diesem verzeichnis lassen), sondern entpacken. Rechtsklicke die exe und wähle entpacken nach, dort wählst du dann den ordner c:\bases. Dann stehen dort eine Menge weiterer Dateien und du kannst wie im Link beschrieben updaten (allerdings nur im normalen Modus) und dann in den abgesicherten Modus starten und den Scan beginnen mit mwavscan.com Manchmal musst du bißchen mit F8 herumprobieren, ist eine Timingfrage. :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board