Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Antivir findet Backdoor BDS/Agent.AY

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 13.02.2005, 11:26   #1
Kiwigreen
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



Hallo,

auch ich bin schon seit längerem mit diesem Virus konfrontiert. Habe diesen Systemcheck gemacht, nachstehend das Ergebnis mit der Bitte um Hilfe:

Logfile of HijackThis v1.99.0
Scan saved at 10:35:33, on 13.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Works\WksSb.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGUARD.EXE
c:\programme\internet explorer\iexplore.exe
C:\DOKUME~1\Florian\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {50FC3CF5-426D-4B3D-9549-9CFD33E1E074} - C:\WINDOWS\System32\ecee.dll (file missing)
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\domer00046\gd-domer00046_de.exe -remove
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Camio Viewer.lnk = C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/D...api/activex.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx
O18 - Filter: text/html - {0C488B3E-2635-44F1-B8F7-BBE2FEBD08E7} - C:\WINDOWS\System32\ecee.dll
O18 - Filter: text/plain - {0C488B3E-2635-44F1-B8F7-BBE2FEBD08E7} - C:\WINDOWS\System32\ecee.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Viele Grüße

Kiwigreen

Alt 13.02.2005, 13:27   #2
chaosman
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



@Kiwigreen
diese datei als beweismittel auf diskette sprechern, ist ein dailer
c:\programme\GlobalDialer\domer00046\gd-domer00046_de.exe

wechsle in den abgesicherten modus und fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\domer00046\gd-domer00046_de.exe -remove
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx
O18 - Filter: text/html - {0C488B3E-2635-44F1-B8F7-BBE2FEBD08E7} - C:\WINDOWS\System32\ecee.dll
O18 - Filter: text/plain - {0C488B3E-2635-44F1-B8F7-BBE2FEBD08E7} - C:\WINDOWS\System32\ecee.dll
lösche danach manuell
C:\WINDOWS\System32\ecee.dll
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
c:\programme\GlobalDialer\domer00046\gd-domer00046_de.exe
C:\DOKUME~1\Florian\LOKALE~1\Temp
neu booten, neues HJT logfile posten
chaosman
__________________

__________________

Alt 14.02.2005, 21:17   #3
Kiwigreen
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



@Chaosman
Danke für die erste Hilfe. Habe die angegebenen files gefixt, danach die Dateien gelöscht, aber:

C:\WINDOWS\System32\ecee.dll
c:\programme\GlobalDialer\domer00046\gd-domer00046_de.exe
beide nicht gefunden

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
hieß gtm.manifest.exe, gelöscht

C:\DOKUME~1\Florian\LOKALE~1\Temp
Temp existiert nicht.

Bitte um weitere Instruktionen.

Danke und Grüsse
Kiwigreen
__________________

Alt 14.02.2005, 21:21   #4
Kiwigreen
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



[QUOTE=Kiwigreen]@Chaosman
Danke für die erste Hilfe. Habe die angegebenen files gefixt, danach die Dateien gelöscht, aber:

C:\WINDOWS\System32\ecee.dll
c:\programme\GlobalDialer\domer00046\gd-domer00046_de.exe
beide nicht gefunden

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
hieß gtm.manifest.exe, gelöscht

C:\DOKUME~1\Florian\LOKALE~1\Temp
Temp existiert nicht.

Hier der neue Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 21:10:06, on 14.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Works\WksSb.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Florian\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {50FC3CF5-426D-4B3D-9549-9CFD33E1E074} - C:\WINDOWS\System32\ecee.dll (file missing)
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Camio Viewer.lnk = C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE



Bitte um weitere Instruktionen.

Danke und Grüsse
Kiwigreen[siehe oben, ]

Alt 15.02.2005, 20:08   #5
chaosman
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



@Kiwigreen
um alle dateien anzuzeigen
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

noch mal suchen und löschen
C:\WINDOWS\System32\ecee.dll
c:\programme\GlobalDialer\domer00046\gd-domer00046_de.exe
beide nicht gefunden


HJT mag dieses programm nicht
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
Date Manager - calender program. Spyware/adware based provided by The Gator Corporation
ich würde es in abgesicherten modus löschen

diese eintrag abgesicherten modus, dann fixen mit HJT

neu booten, neues HJT logfile posten.
es sieht aber jetzt schon ordentlich aus.

chaosman

__________________
Bonus vir semper tiro

Alt 16.02.2005, 18:54   #6
Kiwigreen
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



@Chaosman:

Habe die Schritte ausgeführt, aber:

C:\WINDOWS\System32\ecee.dll
c:\programme\GlobalDialer\domer00046\gd-domer00046_de.exe
beide Dateien sind nicht zu finden.

HJT mag dieses programm nicht
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
Date Manager - calender program. Spyware/adware based provided by The Gator Corporation
ich würde es in abgesicherten modus löschen
erledigt!

Nachstehend aktueller Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 18:47:08, on 16.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Works\WksSb.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\DOKUME~1\Florian\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {50FC3CF5-426D-4B3D-9549-9CFD33E1E074} - C:\WINDOWS\System32\ecee.dll (file missing)
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Camio Viewer.lnk = C:\Programme\Sierra Imaging\Image Expert\IXApplet.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Wie gehts weiter?

Danke für die Hilfe und bis später

Kiwigreen

Alt 16.02.2005, 21:04   #7
chaosman
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



@Kiwigreen
es geht weiter
mit escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman
__________________
Bonus vir semper tiro

Alt 20.02.2005, 16:57   #8
Kiwigreen
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



@Chaosman:
Mit dem Escan hat es ein bißchen gedauert, aber nun nachstehend das Ergebnis:

File C:\DOKUME~1\Florian\LOKALE~1\Temp\sp.html infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
File C:\AOL\Setup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temp\sp.html infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Lederstrumpf\Lokale Einstellungen\Temp\sp.html infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Thorben\Lokale Einstellungen\Temp\sp.html infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\DCHRPRADE.EXE.VIR infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\GD-DOMER00046_DE.EXE.VIR infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\DashBar\dashbar.zip infected by "not-a-virus:AdWare.Gator.b" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\DashBar\InstallDashBar.exe infected by "not-a-virus:AdWare.Gator.b" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\DateManager\datemanager2102.zip infected by "not-a-virus:AdWare.Gator.4116" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\DateManager\InstallDateManager.exe infected by "not-a-virus:AdWare.Gator.4116" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\PrecisionTime\InstallPrecisionTime.exe infected by "not-a-virus:AdWare.Gator.2102" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\PrecisionTime\precisiontime2102.zip infected by "not-a-virus:AdWare.Gator.2102" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\store\apps\datemanager2102.zip infected by "not-a-virus:AdWare.Gator.4116" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\store\apps\precisiontime2102.zip infected by "not-a-virus:AdWare.Gator.2102" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GMT.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{5FB78DED-F8D3-40C5-A1EA-03A27D25B5AA}\RP573\A0145906.exe infected by "not-a-virus:PornWare.Dialer.Intexdial" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{5FB78DED-F8D3-40C5-A1EA-03A27D25B5AA}\RP578\A0157296.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.


Viele Grüße

Kiwigreen

Alt 20.02.2005, 17:03   #9
Chris14
 

Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



das problem wird recht einfach zu beheben sein.
-abgesicherten modus
-lösche den ordner C:\Programme\Gemeinsame Dateien\CMEII\
-lösche den ordner C:\Programme\Gemeinsame Dateien\GMT\
-deaktiviere die systemwiederherstellung (rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, haken hin bei "systemwiederherstellung auf allen laufwerken deaktivieren", neustarten, haken weg machen)
-normaler modus
-lade dir clearprog runter, installiere es
-abgesicherten modus
-führe es aus, setze einen haken bei "alles löschen" und klicke auf löschen
-normaler modus
berichte ob das problem noch vorhanden ist

Alt 22.02.2005, 14:48   #10
Kiwigreen
 
Antivir findet Backdoor BDS/Agent.AY - Standard

Antivir findet Backdoor BDS/Agent.AY



Hallo,

habe clearprog ausgeführt. System lief auch vorher wieder stabil.

Habe zwischenzeitlich firefox installiert, thunderbird folgt noch.

Fragen:
Ist der Rechner wieder sicher?
Wurde der Rechner kompromitiert, System neu aufsetzen?

Danke für die weitere Hilfe.

Kiwigreen

Antwort

Themen zu Antivir findet Backdoor BDS/Agent.AY
adobe, antivir, antivir update, avg, backdoor, bho, bitte um hilfe, button, dateien, excel, explorer, file missing, hijack, hijackthis, internet, internet explorer, messenger, microsoft, office, programme, sierra, software, system32, systemcheck, temp, update, virus, windows, windows messenger, windows xp



Ähnliche Themen: Antivir findet Backdoor BDS/Agent.AY


  1. Malwarebytes findet 1 infizierte Datei (Backdoor.Agent.Fpa)
    Plagegeister aller Art und deren Bekämpfung - 12.12.2013 (14)
  2. Antivir findet TR/Agent.16384.501 was nun
    Plagegeister aller Art und deren Bekämpfung - 25.11.2013 (9)
  3. Antivir findet ADWARE/Agent.Gaba.peg und TR/Agent.370144
    Log-Analyse und Auswertung - 09.07.2012 (5)
  4. AntiVir findet JAVA/Dldr.Agent
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (25)
  5. Antivir findet drop.agent.bsbe
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (8)
  6. Antivir findet WORM/Agent.XO
    Plagegeister aller Art und deren Bekämpfung - 30.01.2010 (2)
  7. Antivir findet den Virus 'BDS/Bredavi.azt' [backdoor]
    Plagegeister aller Art und deren Bekämpfung - 26.11.2009 (1)
  8. Antivir findet ADSPY/Agent.owh
    Plagegeister aller Art und deren Bekämpfung - 30.07.2009 (34)
  9. Antivir findet Backdoor und Trojaner in System Volume Information Ordnern
    Log-Analyse und Auswertung - 25.03.2009 (0)
  10. AntiVir findet BDS/Agent.ajs
    Log-Analyse und Auswertung - 13.01.2007 (7)
  11. Mein Antivir findet BDS/Agent.AY - Mein Antivir findet BDS/Agent.AY ???
    Plagegeister aller Art und deren Bekämpfung - 08.12.2005 (14)
  12. AntiVir findet BDS/Agent.AY
    Log-Analyse und Auswertung - 17.11.2005 (4)
  13. HILFE Antivir findet Backdoor BDS/Agent.AY
    Plagegeister aller Art und deren Bekämpfung - 24.05.2005 (3)
  14. Antivir findet Backdoor BDS/Agent.AY
    Plagegeister aller Art und deren Bekämpfung - 18.05.2005 (334)
  15. antivir findet den BDS/AGENT.AY
    Plagegeister aller Art und deren Bekämpfung - 27.04.2005 (11)
  16. Antivir findet Backdoor BDS/Agent.AY
    Plagegeister aller Art und deren Bekämpfung - 09.01.2005 (10)
  17. Antivir findet BDS/Agent.EK
    Plagegeister aller Art und deren Bekämpfung - 18.12.2004 (2)

Zum Thema Antivir findet Backdoor BDS/Agent.AY - Hallo, auch ich bin schon seit längerem mit diesem Virus konfrontiert. Habe diesen Systemcheck gemacht, nachstehend das Ergebnis mit der Bitte um Hilfe: Logfile of HijackThis v1.99.0 Scan saved at - Antivir findet Backdoor BDS/Agent.AY...
Archiv
Du betrachtest: Antivir findet Backdoor BDS/Agent.AY auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.