BDS/Agent.EC

ArmerUser · 14.12.2004, 21:06

Hallo zusammen!
Habe gerde die neuste AntiVir Version über meinen Rechner laufen lassen mit dem Ergebnis, dass er in C:/WINDOWS/System32 die Unterdatei mtwiy.exe gefunden hat und sie als das Backdoorprogramm BDS/agent.EC identifiziert hat. Gleichzeitig hat AntiVir unter C:/Windows/Prefech die Datei bla.exe gefunden und sie als TR/dldr.small.aaq.2 identifiziert.

Ich habe schon etwas durch die Foren geschnuppert, leider aber kaum etwas verstanden. Bin nicht so firm in Computersachen.
Antworten bitte auf Anfängerniveau.

Was machen diese Programme? Kann ich sie einfach löschen (wurde von Antivir automatisch angeboten.)? Ist das Problem damit gelöst?

Vielen Dank für Hilfe!

Nachtrag: Habe vor lauter "posten" (?)und "fixen" (?) die Nerven verloren, bin nochmal mit AntiVir und Spybot drüber und ließ die Probleme automatische beheben. Bei einem weiteren Durchlauf wurden keine Warnungen mehr ausgesprochen. Bin ich nun geheilt oder verdammt?

MountainKing · 15.12.2004, 12:05

Bitte ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

ArmerUser · 15.12.2004, 12:19

Danke für Hilfe!

Hoffe ich habe es richtig gemacht?

Logfile of HijackThis v1.98.2
Scan saved at 12:18:37, on 15.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Downloads\hijackthis1982\HijackThis.exe

MountainKing · 15.12.2004, 12:34

Es fehlt die untere Hälft des Logfiles, bitte poste alles, was drinsteht (siehe auch andere Threads hier).

ArmerUser · 15.12.2004, 12:36

Neuer Versuch:

Logfile of HijackThis v1.98.2
Scan saved at 12:36:21, on 15.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Downloads\hijackthis1982\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253

MountainKing · 15.12.2004, 12:45

Du solltest Service Pack 2 installieren und windowsupdate regelmäßig besuchen.

O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab

Das solltest du im abgesicherten Modus fixen:

http://www.trojaner-board.de/63335-w...s-starten.html

Update und scanne mit E-Scan wie beschrieben und poste dann das Ergebnis:

http://www.trojaner-board.de/42731-escan-anleitung.html

Es sieht aber so aus, als ob du die Viren so weit gelöscht hast.

Für die Zukunft als Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html

ArmerUser · 15.12.2004, 13:16

O weh!

O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab

Was bedeuten diese Zeilen? Der Link funktioniert nicht!

Das solltest du im abgesicherten Modus fixen

Sorry, was soll ich fixen? Und was heißt fixen? Hab doch keine Ahnung!!

ArmerUser · 15.12.2004, 13:18

O weh!

"O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab""
Was bedeuten diese Zeilen? Der Link funktioniert nicht!

"Das solltest du im abgesicherten Modus fixen"

Sorry, was soll ich fixen? Und was heißt fixen? Hab doch keine Ahnung!!

[/QUOTE]

15.12.2004, 13:50

Vor den genannten Einträgen im Programm HijackThis ein Häckchen setzen und dann auf "FIX CHECKED" klicken.

ArmerUser · 15.12.2004, 16:11

OKAY!

Habe folgendes getan:

1. Systemwiederherstellung deaktiviert.
2. Im abgesicherten Modus neu gestartet
3. mit e-scan den PC überprüft und unten stehende "Virus Log Informatons" bekommen.
4. Hijackthis erneut gestartet und die Zeile "O16 DPF ...." gefixed.
5. PC neu gestartet
6. Sytemwiederherstellung neu aktiviert

und nun´bin ich wieder hier - was mach ich denn nun mit den entsprechenden Fundtellen?

Virus Log Informations des E-Scan:

File C:\Windows\htpatch.exe tagged as not-a-virus: Tool.Win32.HTPatch.a. No Action Taken

File C:\Windows\htpatch.exe tagged as not-a-virus: Tool.Win32.HTPatch.a. No Action Taken

File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR infected by”Backdoor.Win32.Agent.ec” Virus. Action Taken: No Action Taken

File C:\Windows\htpatch.exe tagged as not-a-virus: Tool.Win32.HTPatch.a. No Action Taken

File E:\Driver\SIS_AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken

File E:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus: Tool.Win32.Reboot. Not Action Taken

MountainKing · 15.12.2004, 16:21

Kannst du ignorieren, höchstens mal den Infected-Ordner von Antivir leeren und die von mir empfohlene Lektüre lesen sowie updaten. Die Tatsache, dass dich mal ein Backdoor "besucht" hat, ist schon mal kein gutes Zeichen, auch wenn -hoffentlich- Antivir die Infektion verhindert hat, zumindest ist mit normalen Mitteln nichts sichtbar geworden. In Zukunft aber an den Surfgewohnheiten arbeiten (siehe Link).

ArmerUser · 15.12.2004, 16:32

Das heißt, ich bin gesund entlassen?

Dann vielen Dank für die Hilfe!

P.S.: Habe das ServiepackII schon seit Wochen hier liegen. Habe aber gelesen, dass es durch die Installation zu Problemen mit Drucker, Nero-Burning und DSL-Modems kommen kann. Da ich den PC derzeit dringend brauche (Examensarbeit) habe ich mich nicht getraut zu installieren.
Ist da was dran?

15.12.2004, 13:50	#9
Christian Gast	BDS/Agent.EC Vor den genannten Einträgen im Programm HijackThis ein Häckchen setzen und dann auf "FIX CHECKED" klicken.

BDS/Agent.EC

Plagegeister aller Art und deren Bekämpfung: BDS/Agent.EC

BDS/Agent.EC

BDS/Agent.EC

BDS/Agent.EC

BDS/Agent.EC

BDS/Agent.EC

BDS/Agent.EC

BDS/Agent.EC

BDS/Agent.EC

BDS/Agent.EC

BDS/Agent.EC

BDS/Agent.EC

BDS/Agent.EC

Ähnliche Themen: BDS/Agent.EC

15.12.2004, 12:05	#2
MountainKing	BDS/Agent.EC Bitte ein Log mit diesem Programm erstellen: http://www.trojaner-board.de/51130-a...ijackthis.html Inhalt hier ins Forum posten. __________________

15.12.2004, 12:34	#4
MountainKing	BDS/Agent.EC Es fehlt die untere Hälft des Logfiles, bitte poste alles, was drinsteht (siehe auch andere Threads hier).

15.12.2004, 13:16	#7
ArmerUser	BDS/Agent.EC O weh! O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab Was bedeuten diese Zeilen? Der Link funktioniert nicht! Das solltest du im abgesicherten Modus fixen Sorry, was soll ich fixen? Und was heißt fixen? Hab doch keine Ahnung!!

15.12.2004, 13:18	#8
ArmerUser	BDS/Agent.EC O weh! "O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab"" Was bedeuten diese Zeilen? Der Link funktioniert nicht! "Das solltest du im abgesicherten Modus fixen" Sorry, was soll ich fixen? Und was heißt fixen? Hab doch keine Ahnung!! [/QUOTE]

15.12.2004, 16:32	#12
ArmerUser	BDS/Agent.EC Das heißt, ich bin gesund entlassen? Dann vielen Dank für die Hilfe! P.S.: Habe das ServiepackII schon seit Wochen hier liegen. Habe aber gelesen, dass es durch die Installation zu Problemen mit Drucker, Nero-Burning und DSL-Modems kommen kann. Da ich den PC derzeit dringend brauche (Examensarbeit) habe ich mich nicht getraut zu installieren. Ist da was dran?