Hallo seit ein paar Tagen kommt bei mir von Antivir diese Meldung:
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.EK!
C:\DOKUMENTE UND EINSTELLUNGEN\PINA-PHILIPP\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\HR1K34WX\IMG[1].JPG

Ich lösche die Datei immer aber sie kommt jedesmal wieder hab schon im abgesicherten Modus scannen lassen von e-scan und Antivir doch leider ohne Erfolg(Systemwiederherstellung war aus!)
Den oben genannten Ordner Content.IE5 kann ich auch weder über Arbeitsplatz noch über Windows Explorer finden nur wenn ich Nero starte finde ich Ihn, dasselbe gilt für 5Dateien(Nerocrack.exe,Autocad.exe...)die sich immer in meinem Kazza Ordner installieren.
System: Windows XP SP2, Antivir PE
Hjackthis Log:

Logfile of HijackThis v1.99.0
Scan saved at 09:11:23, on 26.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Pina-Philipp\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [®Windows Update] svchosts.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [®Windows Update] svchosts.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096728815609
O17 - HKLM\System\CCS\Services\Tcpip\..\{90E6D860-DED6-49D6-B4E0-6916EE948DC4}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Wäre sehr sehr dankbar wenn mir jemand helfen könnte suche seit 3 Tagen stundenlang nach einer Lösung.

@pp142
lade dir bei www.clearprog.de clearprog
programm starten, alle häkchen bei windows und IE setzen, löschen.
dann lade dir escan hier
mache es wie hier beschrieben steht
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

O.K Danke im Vorraus für die Antwort E-Scan ist dabei zum Scannen melde mich dann.

E-Scan hat nichts gefunden!!!!
Aber Antivir hat sich mal wieder gemeldet!!!!!

Zitat:

Zitat von pp142

E-Scan hat nichts gefunden!!!!
Aber Antivir hat sich mal wieder gemeldet!!!!!

Also AntiVir ist wegen seinen Fehlalarmen schonmal bekannt

Hast du auch mit escan ein Update gemacht vor dem Scan?


Gruss

Nein ich hab es ja neu runtergeladen

mach es nochmal mit update melde mich dann

Leider kein ergebnis hab aber immer noch die dateien im kazza ordner und die meldung von antivir!!!!!

So,

hab mir dein HijackThis nochmal angeschaut!

Meiner Meinung nach,tummelt sich der hier bei dir auf dem System rum:

http://www.sophos.de/virusinfo/analy...2spybotgq.html

Daher solltest du folgendes machen:

http://www.trojaner-board.de/showpos...28&postcount=2

Kazaa ist wohl die grösste Virenschleuder überhaupt.... mal zur Info!

Gruss

Hallo erstmal vielen Dank allen für die Hilfe.
Hab durch stundenlanges suchen herausgefunden das ich den trojan.fructa hatte hab dann mit einer trial-version und der anleitung von Norton das Problem gelöst.

Zitat:

Zitat von pp142

Hallo erstmal vielen Dank allen für die Hilfe.
Hab durch stundenlanges suchen herausgefunden das ich den trojan.fructa hatte hab dann mit einer trial-version und der anleitung von Norton das Problem gelöst.

Es ist trotzdem ein Backdoor,daher solltest du meinem Rat unten folgen!

Les dazu auch mal die Links von Cidre in dem genannten Posting!

Gruss

@ pp142:
1. Wie kamst du auf den trojan.fructa?
2. Hast Du clearprog benutzt?
3. Poste ein neues Logfile, weil ich Dir nicht glaube, daß der Rechner wieder sauber sein soll.
cacatoa

Zitat:

Zitat von cacatoa

@ pp142:
1. Wie kamst du auf den trojan.fructa?
2. Hast Du clearprog benutzt?
3. Poste ein neues Logfile, weil ich Dir nicht glaube, daß der Rechner wieder sauber sein soll.
cacatoa

Versteh ich auch nicht!

O4 - HKLM\..\Run: [®Windows Update] svchosts.exe dabei müsste es sich ja um den handeln

http://www.sophos.de/virusinfo/anal...32spybotgq.html

oder bist du anderer Meinung?

Bin der gleichen Meinung, aber nicht sicher, ob das wirklich alles sein soll...
cacatoa