Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BDS/Agent.A (https://www.trojaner-board.de/9581-bds-agent-a.html)

kluivert 14.11.2004 14:41
BDS/Agent.A
 
Hallo zusammen,
mein AntiVir findet permanent das (gefährliche) Backdoorprogramm BDS/Agent.A. Ich kann es zwar löschen, aber nach wenigen Minuten kommt die Meldung erneut.
Ich hab auch schon ein bissl "gegoogled" und bin auf HijackThis gestoßen und hab auch gleich mal ein Logfile erstellt:

Logfile of HijackThis v1.98.2
Scan saved at 14:27:44, on 14.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\mysql\bin\mysqld.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\software\HijackThis\HijackThis.exe

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: Verknüpfung mit taskmgr.lnk = C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...006_cracks.cab

Wäre super, wenn sich das jemand anschauen könnte und mir einen Tipp geben könnte, wie ich meinen PC wieder sauber bekomm.

Vielen Dank schonmal und viele Grüße,

Tobi

Shadowdance 14.11.2004 15:02
@ kluivert,

lade bitte zunächst den eScan runter, entsprechend der Anleitung. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

kluivert 14.11.2004 15:16
Hi Shadowdance,

ok, eScan läuft.
Ich poste dann das Ergebnis, wenn mein PC durch ist.

Danke schonmal und Gruß,
Tobi

Shadowdance 14.11.2004 15:22
@ kluivert

Zitat:
Zitat von kluivert
ok, eScan läuft.
Ich poste dann das Ergebnis, wenn mein PC durch ist.
wo läuft der eScan? Auf einem zweiten Computer? Du weisst aber schon, dass der eScan im abgesicherten Modus offline durchgeführt werden soll?

SD

kluivert 14.11.2004 15:41
Hi Shadowdance,

ja, eScan läuft gerade auf dem infizierten Rechner.
Mein Kommentar kommt von 2. PC.

Melde mich wieder, wenn das Ergebnis da ist.

Gruß, Tobi

kluivert 14.11.2004 16:45
Hi zusammen,

anbei die Einträge des Logfiles, die das Wort "infected" beinhalten:

Sun Nov 14 15:58:07 2004 => File C:\Programme\AVPersonal\INFECTED\A0006119.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:07 2004 => File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR infected by "TrojanDownloader.Win32.Dyfuca.cq" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:07 2004 => File C:\Programme\AVPersonal\INFECTED\wserv32.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:07 2004 => File C:\Programme\AVPersonal\INFECTED\wserv32.VIR00 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wserv32.VIR01 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wserv32.VIR02 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wudmate.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wudmate.VIR00 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wudmate.VIR01 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wudmate.VIR02 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Viele Grüße,
Tobi

Haui45 14.11.2004 16:54
Zitat:
Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Du solltest formatieren. Hier ist alles beschrieben.

kluivert 14.11.2004 17:00
Zitat:
Zitat von Haui45
Du solltest formatieren.
... nö oder?

Ist`s wirklich so schlimm?
Gibt`s keine Alternative dazu?

Gruß, Tobi

Shadowdance 14.11.2004 17:05
@ kluivert,

poste bitte das eScan log mit allen Einträgen - also das Ergebnis mit allen Viren.

SD

Haui45 14.11.2004 17:07
Ja es ist so schlimm, da es äußerst schwer ist festzustellen was auf deinem System schon verändert wurde. siehe auch Kompromittierung.
Nur dazu was der Trojaner alles kann:
z.B.
Keylogging (alle PW's müssen als bekannt angesehen werden)
Up-u. Download von Dateien
Kontrolle über Webcams
Diebstahl von CD-Keys
dein PC könnte als Server zum verteilen illegalen Materials genutzt worden sein
usw.
Zum nachlesen: http://www.sophos.de/virusinfo/analyses/w32rbotov.html

Ok sie sind zwar im AntiVir Quarantäneordner, hab ich übersehen :( , aber man weiß ja nie....

kluivert 14.11.2004 17:35
@ shockwave

[FONT=Courier New[msvLclnt.dll] [0x00000398] 14/11/2004 15:47:31:090 :ModuleName = C:\bases\mwavscan.com

[msvLclnt.dll] [0x00000398] 14/11/2004 15:47:31:090 :Registry Key Deleted Properly!!!

[msvLclnt.dll] [0x00000398] 14/11/2004 15:47:34:414 :Options Set by External applications mwavscan.com are 9896960 (0x970400):

[msvLclnt.dll] [0x00000398] 14/11/2004 15:47:34:414 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN

[msvLclnt.dll] [0x00000398] 14/11/2004 15:47:34:414 :TimeOut : ffffffff

[msvLclnt.dll] [0x00000398] 14/11/2004 15:47:34:414 :Priority : NORMAL

[msvLclnt.dll] [0x00000398] 14/11/2004 15:47:35:075 :VirusCount = 109396 Latest Date = 2004/11/14

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:48:25:838 :[00000001] File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by not-a-virus:AdWare.Gator

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:48:46:508 :[00000001] File C:\WINDOWS\autoload.exe infected by not-a-virus:Tool.Win32.Autoloader

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:49:03:422 :[00000001] File C:\WINDOWS\system32\cd_clint.dll infected by not-a-virus:AdWare.Cydoor

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:58:07:214 :[00000001] File C:\Programme\AVPersonal\INFECTED\A0006119.EXE.VIR infected by Backdoor.Win32.Rbot.gen

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:58:07:325 :[00000001] File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR infected by TrojanDownloader.Win32.Dyfuca.cq

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:58:07:575 :[00000001] File C:\Programme\AVPersonal\INFECTED\wserv32.VIR infected by Backdoor.Win32.Rbot.gen

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:58:07:815 :[00000001] File C:\Programme\AVPersonal\INFECTED\wserv32.VIR00 infected by Backdoor.Win32.Rbot.gen

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:58:08:116 :[00000001] File C:\Programme\AVPersonal\INFECTED\wserv32.VIR01 infected by Backdoor.Win32.Rbot.gen

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:58:08:366 :[00000001] File C:\Programme\AVPersonal\INFECTED\wserv32.VIR02 infected by Backdoor.Win32.Rbot.gen

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:58:08:466 :[00000001] File C:\Programme\AVPersonal\INFECTED\wudmate.VIR infected by Backdoor.Win32.Rbot.gen

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:58:08:566 :[00000001] File C:\Programme\AVPersonal\INFECTED\wudmate.VIR00 infected by Backdoor.Win32.Rbot.gen

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:58:08:666 :[00000001] File C:\Programme\AVPersonal\INFECTED\wudmate.VIR01 infected by Backdoor.Win32.Rbot.gen

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:58:08:787 :[00000001] File C:\Programme\AVPersonal\INFECTED\wudmate.VIR02 infected by Backdoor.Win32.Rbot.gen

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:03:706 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:03:736 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by not-a-virus:AdWare.Gator

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:03:816 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:03:916 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:03:986 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:04:036 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:04:106 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:04:206 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:04:276 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:04:337 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:04:387 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:04:487 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:05:108 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by not-a-virus:AdWare.Gator

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:05:709 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by not-a-virus:AdWare.GAIN.6041

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:05:769 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by not-a-virus:AdWare.Gator

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:05:859 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by not-a-virus:AdWare.Gator

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:06:109 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by not-a-virus:AdWare.Gator

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:06:700 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\GMT.exe infected by not-a-virus:AdWare.Gator

[msvLclnt.dll] [0x0000040c] 14/11/2004 15:59:06:830 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by not-a-virus:AdWare.Gator

[msvLclnt.dll] [0x0000040c] 14/11/2004 16:11:11:282 :[00000001] File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE infected by not-a-virus:AdWare.Toolbar.MyWay.b

[msvLclnt.dll] [0x0000040c] 14/11/2004 16:11:11:422 :[00000001] File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL infected by not-a-virus:AdWare.ToolBar.MyWay.f

[msvLclnt.dll] [0x0000040c] 14/11/2004 16:20:34:982 :[00000001] File C:\WINDOWS\autoload.exe infected by not-a-virus:Tool.Win32.Autoloader

[msvLclnt.dll] [0x0000040c] 14/11/2004 16:30:31:440 :[00000001] File C:\WINDOWS\system32\cd_clint.dll infected by not-a-virus:AdWare.Cydoor

[msvLclnt.dll] [0x0000040c] 14/11/2004 16:39:19:980 :VirusCount = 109396 Latest Date = 2004/11/14

[msvLclnt.dll] [0x00000398] 14/11/2004 16:39:38:647 :VirusCount = 109396 Latest Date = 2004/11/14[/FONT]

Danke und Gruß,

Tobi

Shadowdance 14.11.2004 19:53
Hallo kluivert,

ich gebe Haui45 recht. Im Falle von - Backdoor.Win32.Rbot.gen-> "Erläuterung" - ist die sicherste und beste Lösung: formatieren und neu aufsetzen gemäß Cidre's Rat.

Alles andere ist einfach zu riskant.

SD

kluivert 15.11.2004 07:34
Hi zusammen,

na gut, dann werd ich wohl nicht drum rumkommen... :headbang:

Aber Euch allen vielen Dank für die schnelle und kompetente Unterstützung!

Viele Grüße und einen schönen Tag!

Tobi


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131