Hallo Leute,

wie ich schon bei einigen gelesen habe, tritt das Problem des BDS/Agent.AY
desöfteren auf. Bei mir hat sich dieser auch eingeschlichen, zumindest habe
ich bis letzte Woche von Antivir oft folgende Meldung für den den
BDS/Agent.AY auf meinem Rechner erhalten, der sich natürlich nicht
entfernen ließ. Die Datei bzw. Ordner, in dem sich das BDS/Agent.AY
befindet: C:\Programme\Gemeinsame Dateien\NBFPDLPR\LDTDAFDT\
RRRCJFPN.EXE.

Symptome: PDF's können nicht mehr geladen werden, Internet funktioniert
nur noch partiell d.h. manchmal lässt sich der Browser (Mozilla Firefox)
nicht starten. Nun ist es so, dass die Meldung von Antivir
seit einer Woche gar nicht mehr angezeigt wird, der PC aber trotzdem
immer wieder "außer Kontrolle" gerät. Deshalb glaube ich,
dass BDS/Agent immer noch drauf ist

Ich habe hier mal ein aktuelles Logfile, vielleicht hat jemand von euch
eine Idee. Was ich bisher gemacht hab: Neben Logfile, habe ich mir
escan runtergeladen. In der Programmbeschreibung soll durch Rechtsklick auf die Datei 'mwav.exe' -> 'Dateien entpacken' auswählen -> unter Zielverzeichnis 'C:\Bases_X' eingeben -> 'OK', um später escan laufen zu lassen.

Leider funktioniert dies leider nicht bei mir, da bei mir auf der rechten Maustaste nur die Option Öffnen oder entfernen erscheint und ich gar
nicht diesen Pfad einschlagen kann, sondern sofort die Lizensvereinbarung
erscheint, vgl. www.trojaner-info.de/hijacker/escan.shtml.. Vielleicht
kann mir auch hier jemand einen Rat geben.


Hier jetzt also das Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 08:27:00, on 16.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\kdx\KHost.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\LEd\LEd.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Schilling\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ***de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ***yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***de.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MediaFace Integration] C:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - ***johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - ***us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - ***gamespot.com/KDX22/download/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1604AA4E-3E83-4B2B-9D2F-41684911302C}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{736B00F8-6AD5-43FF-8391-C15F2936FB0A}: Domain = uni-tuebingen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{736B00F8-6AD5-43FF-8391-C15F2936FB0A}: NameServer = 134.2.200.1,134.2.200.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-tuebingen.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-tuebingen.de
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Programme\Ahead\InCD\InCDsrv.exe

Hoffe ihr könnt mir irgendwie weiterhelfen

Gringo needs you soon!!!

[edit]
links entfernt
[/edit]

hasta la vista, gringo!

Lass´ die Datei

Zitat:

C:\Programme\Gemeinsame Dateien\NBFPDLPR\LDTDAFDT\
RRRCJFPN.EXE

bei Jotti http://virusscan.jotti.org/de/ prüfen und poste das Ergebnis!
Deinstalliere über <Systemsteuerung> - <Software> Gator
bis denn, stupormundi

Folge erst mal Dartus Anweisungen:
http://www.trojaner-board.de/showthread.php?t=21393

Danach sollte auch der escan funktionieren.