Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: mal wieder BDS/Agent.AY

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 30.11.2004, 17:41   #1
Sternenschwester
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Hallo ich hab ihn auch...
Und wär ihn gerne wieder los.

Mein HijackThis log ist:
Logfile of HijackThis v1.98.2
Scan saved at 11:25:30, on 30.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\DATE MANAGER\DATEMANAGER.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - U:\PROGRAMME\FLESHGET\FLASHGET\JCCATCH.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FGIEBAR.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MSNSysRestore] C:\WINDOWS\SYSTEM\pc32.exe bg
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FLASHGET.EXE (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FLASHGET.EXE (file missing)
O9 - Extra button: Find &Mp3s - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - u:\programme\finder\mp3find.exe (file missing)
O9 - Extra 'Tools' menuitem: Planet.MP3Find - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - u:\programme\finder\mp3find.exe (file missing)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

Danke schon mal für jede Hilfe!

Alt 30.11.2004, 19:04   #2
steveman
 

mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Hi,

beende diesen Prozess und lösche ihn anschliesend manuell:

C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE

Fixe das:

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - U:\PROGRAMME\FLESHGET\FLASHGET\JCCATCH.DLL (file missing)

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FGIEBAR.DLL (file missing)

O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"

O4 - HKLM\..\Run: [MSNSysRestore] C:\WINDOWS\SYSTEM\pc32.exe bg

O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

O4 - Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FLASHGET.EXE (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FLASHGET.EXE (file missing)

O9 - Extra button: Find &Mp3s - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - u:\programme\finder\mp3find.exe (file missing)

O9 - Extra 'Tools' menuitem: Planet.MP3Find - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - u:\programme\finder\mp3find.exe (file missing)
__________________


Alt 01.12.2004, 10:45   #3
Sternenschwester
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Ganz vielen lieben Dank!

Ich hoffe es ist jetzt weg.

Mein log sieht jetzt so aus:

Logfile of HijackThis v1.98.2
Scan saved at 10:44:57, on 01.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42
__________________

Alt 01.12.2004, 11:25   #4
MountainKing
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Das hast du vergessen zu fixen:

O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"

Mach es am besten im abgesicherten Modus:

http://www.trojaner-board.de/63335-w...s-starten.html

oder beende zumindest den entsprechenden Prozess im Taskmanager vorher.

Alt 01.12.2004, 11:37   #5
Sternenschwester
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Ich bin ihn immer noch nicht los.

Habe noch mal antivir drüberlaufen lassen und er findet den BDS/Agent.AY immer noch


Was hab ich falsch gemacht?

/edit
sorry, hab die antwort nicht gesehn gehabt, werds versuchen
/edit


Alt 01.12.2004, 11:45   #6
MountainKing
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



cmesys dürfte mit BDS nichts zu tun haben. Wo genau wird es denn gefunden, in welcher Datei? Besorge dir mal www.clearprog.de und lösche die temporären Dateien (auch des IE).

Alt 01.12.2004, 12:28   #7
Sternenschwester
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Ok, es scheint so, als wär er weg.
Vorher wars im Ordner C:\Programme\Gemeinsame Dateien\fbbpfllr\ddpdlfct
die datei hieß arnchfln.exe

Aber wegen dem anderen Ding...
Ich bin zu blöd in den abgesicherten Modus zu kommen.

Und noch ne Frage kann BDS/Agent.AY was damit zu tun gehbat haben, dass sich mein Rechner immer wieder beharrlich geweigert hat runter zu fahren?

Alt 01.12.2004, 12:48   #8
MountainKing
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Wenn du es mit F8 nicht hinbekommst gibt es noch eine zweite Möglichkeit:

Start/ausführen/msconfig eingeben/Boot.ini/Haken bei SafeBoot machen

damit startet er beim nächsten Boot in den abgesicherten Modus, wenn du wieder in den normalen willst, Haken wieder rausnehmen.
Dass es mit dem herunterfahren etwas zu tun hat, glaube ich eigentlich nicht, das ist eher eine Krankheit älterer Windowsversionen in Kombination mit bestimmter hardware.
Schau mal hier:

http://www.windows-tweaks.info/html/...ide-win98.html

Alt 01.12.2004, 22:07   #9
Tom59
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



@Sternenschwester...

habe auch noch win98

...schalte deinen PC ein und betätige unmittelbar danach die Taste "Strg"und halte sie eine Weile gedrückt bis der SW-Bildschirm erscheint...wähle dann im erscheinenden Menü "abgesicherter Modus"

lg


Tom59
__________________
alles wird gut...

Alt 02.12.2004, 10:33   #10
Sternenschwester
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



So, nachdem ich das "abgesicherte Modus" Problem auch hinbekommen hab, bin ich wohl alle ungebetenen Gäste los.

Ganz vielen lieben Dank an alle Helfer.

Um auch ganz sicher zu sein, hier noch mal mein aktuelles log-file:
Logfile of HijackThis v1.98.2
Scan saved at 10:31:38, on 02.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

Alt 02.12.2004, 10:44   #11
cacatoa
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Na, mir gefällt das aber gar nicht:
Das
und das
Deshalb schnellsten im abgesicherten Modus mit HJT fixen:
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
und neues Logfile posten.

außer dem einen escan durchführen (mwav.exe runterladen, in einen von dir erstellten Ordner C:\bases entpacken, updaten (kavupd.exe) und scannen lassen (mwavscan.com). Dabei alle Häkchen nach dieser Anleitung setzen.
Das Ergebnis bitte ebenfalls hier rein posten (..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected und/oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...)
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 02.12.2004, 12:50   #12
Sternenschwester
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Tja, also, da hab ich ein kleines Problem
Hab escan runtergeladen, entpackt, aktualisiert, bin in den abgesicherten Modus gegangen und habs gestartet. Und die Meldung meines Rechners war: Nicht genügend Arbeitsspeicher!

Was mach ich jetzt?

Ach so, hab die beiden anderen im abgesicherten Modus gefixt und das ist jetzt mein log:

Logfile of HijackThis v1.98.2
Scan saved at 12:49:00, on 02.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\PROGRAMME\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

Alt 02.12.2004, 20:49   #13
*Christian*
Gast
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Fixe noch dies:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Ansosnten schauts sauber aus.

Alt 03.12.2004, 10:19   #14
Sternenschwester
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Hab die beiden gefixt.

Schade, dass sich escan weigert. Naja, ist halt ne alte Möhre das hier.

Ganz lieben Dank!

Bin dann jetzt wohl sauber:
Logfile of HijackThis v1.98.2
Scan saved at 10:15:41, on 03.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...07&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

Alt 05.12.2004, 21:20   #15
Shadowdance
 
mal wieder BDS/Agent.AY - Standard

mal wieder BDS/Agent.AY



Hallo Sternenschwester,

lade zuerst das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. Damit bekommst Du etwas Freiraum auf dem Rechner.

Starte dann den eScan nochmal .. wie in der Anleitung vorgegeben. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Antwort

Themen zu mal wieder BDS/Agent.AY
acrobat, adobe, bho, button, dateien, desktop, explorer, file missing, find.exe, hijack, hijackthis, hijackthis log, hilfe, icq, internet, internet explorer, links, log, microsoft, office, programme, registry, rundll, rundll32.exe, software, start, system, windows



Ähnliche Themen: mal wieder BDS/Agent.AY


  1. Wie werde ich TR/Agent.hlcz wieder los?
    Plagegeister aller Art und deren Bekämpfung - 10.03.2011 (9)
  2. TR/Agent.RUO kommt immer wieder, jetzt TR/Agent.RUO.6
    Plagegeister aller Art und deren Bekämpfung - 02.04.2010 (1)
  3. Wie werde ich den Trojaner TR/Agent.btxi wieder los ?
    Plagegeister aller Art und deren Bekämpfung - 01.06.2009 (0)
  4. Nach Trojaner-PSW.Win32.Agent.mrh wieder sauber?
    Log-Analyse und Auswertung - 04.05.2009 (57)
  5. TR/Agent.iob immer wieder im temp Ordner - wie krieg ich den weg ?
    Plagegeister aller Art und deren Bekämpfung - 12.11.2008 (1)
  6. TR/Click.Agent.afs ??? Nach löschen,alles wieder ok?
    Log-Analyse und Auswertung - 21.05.2008 (8)
  7. win32.agent.qt kommt immer wieder! :(
    Plagegeister aller Art und deren Bekämpfung - 08.02.2008 (1)
  8. Trojaner kommt immer wieder!? / Agent.3200.A
    Plagegeister aller Art und deren Bekämpfung - 19.01.2008 (6)
  9. Wie werde ich den da ->BDS/Agent.bxt, wieder los??
    Plagegeister aller Art und deren Bekämpfung - 05.10.2007 (4)
  10. BDS/Agent.YW taucht immer wieder auf
    Plagegeister aller Art und deren Bekämpfung - 29.06.2006 (4)
  11. BDS/Agent.AY...mal wieder ;)
    Plagegeister aller Art und deren Bekämpfung - 22.12.2005 (1)
  12. Mal wieder Problem mit BDS/Agent.AY
    Log-Analyse und Auswertung - 08.09.2005 (1)
  13. wieder mal agent.ay
    Plagegeister aller Art und deren Bekämpfung - 26.07.2005 (1)
  14. Schon wieder bds/agent.ay
    Plagegeister aller Art und deren Bekämpfung - 20.12.2004 (1)
  15. Hilfe, wie werde ich BDS/Agent.AY wieder los?
    Plagegeister aller Art und deren Bekämpfung - 19.12.2004 (20)
  16. Mal wieder: TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 16.10.2004 (14)
  17. Agent.AY hat wieder zugeschlagen
    Plagegeister aller Art und deren Bekämpfung - 04.10.2004 (3)

Zum Thema mal wieder BDS/Agent.AY - Hallo ich hab ihn auch... Und wär ihn gerne wieder los. Mein HijackThis log ist: Logfile of HijackThis v1.98.2 Scan saved at 11:25:30, on 30.11.04 Platform: Windows 98 SE (Win9x - mal wieder BDS/Agent.AY...
Archiv
Du betrachtest: mal wieder BDS/Agent.AY auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.