Hallo,

habe seit vorgestern ein Problem auf meinem ThinkPad:
Antivir Guard meldet ein "gefährliches" Backdoor-Programm mit der Signatur
BDS/Hupigon.BTZ in der Datei c:\windows\system32\1XCongig.exe.
(Aktuelles Windows mit aktuellen Antivir-Signaturen)

Habe daraufhin alles neu installiert mit IBM Wiederherstellung von der Platte (nicht von CD). Und siehe da: Das Problem wird wieder gemeldet.
Habe ich das Problem jetzt auch schon auf meiner Wiederherstellungs-Partition, in meinen Daten, die ich zurückgespielt habe, oder ist es Fehlalarm???

Mein Hijackthis-Log sieht wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 22:58:52, on 14.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\system32\TpKmpSVC.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\tp4serv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\hinrichs\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [QCTRAY] C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

Bei http://www.hijackthis.de/ wurden die Zeilen mit BatInfEx.dll und pwrmonitor.dll als unbekannt bemängelt, aber ich vermute, es handelt sich hier um normale Batterie- und Power-Management-Module.

Kann mir jemand helfen???

Hallo,

habe genau das gleiche Problem. Seit gestern habe ich diesen "VIRUS" Hupigon btz.1 auf meinem Rechner. Zumindest laut Antivir.

Die Fehlermeldung bekam ich gestern beim Download von Windows-Updates.

Ich habe heute meinen Rechner komplett formatiert und neu aufgesetzt. Mit CD !

Habe mir dann logischerweise wieder Antivir installiert und dann wieder die Windows-Updates gedownloadet.

Und siehe da. Bling. Hupigon btz.1 ist wieder da.

Ich denke nach logischem Vorgehen kann es nur zwei Ursachen geben.

1.) Der Windows Update Server ist verseucht und ich habe mir den gleichen Virus soeben nochmals eingefangen.

oder

2.) In einem Microsoft-Update ist ein Programm-Teil enthalten den AntiVir als kritisch ansieht der aber von Microsoft gewollt ist.

Für Variante 2 würde sprechen dass Microsoft Defender rein gar nichts findet.

Ich bin gespannt auf Eure Meinungen.

Ich denke die Problematik geht jetzt erst richtig los. Es gibt viele User mit AntiVir. Und wenn die die Windows Updates downloaden........

Thomas

Hallo,

habe soeben die extrem teure AntiVir Hotline angerufen.

Die Fehlermeldung "BDS / Hupigon BTZ.1" ist ein Fehler von AntiVir.

Mit einem neuen Update von AntiVir sollte dieser Fehler verschwinden.

Dies kann ich so nicht bestätigen.

Ich werde deswegen also etwas abwarten und in den nächsten Tagen immer wieder Updates von AntiVir machen. Hoffe dass dann keine Fehlermeldung mehr kommt.

In der Zwischenzeit bin ich skeptisch und Halte meine Augen offen.

Vielleicht gibt es ja andere Bestätigungen zu der nicht schriftlichen Aussage von AntiVir dass es definitiv kein Virus oder Backdoor Programm ist.

Herzliche Grüsse

Thomas

Hallo,

ich bin neu hier und habe exakt das gleiche Problem. Antivir meldet, vorallem bei längerem Leerlauf des Rechners: "Gefährliches Backdoor Programm: BDS/Hupigon.BTZ" gefunden. Die Auswahlmöglichkeiten, wie Löschen, Quarantäne etc. führen zu nichts. Beim Scannen findet er auch nichts.
Ich habe dann Spydoctor versucht, der hat zwar einiges andere an den Tag gebracht, aber betreffendes nicht gefunden. Ich dachte dann es sei weg...aber heute morgen hatte ich nach längerem Standby die selbe Meldung.
Updates waren bis gestern Abend erfolglos.

Hallo,

ich habe Avira (AntiVir) jetzt meine "angemeckerten" Dateien bei www.avira.com hochgeladen.

4x unter jeweils verschiedenen Namen.

Und mein Verdacht hat sich bestätigt.

Jedes Mal kam eine andere Antwort.

1.) Wir haben in Ihrer Datei den gefährlichen Virus BDS hupigon BTZ gefunden.

2.) Ihre Datei ist frei von Viren oder Würmern.

3.) Falscher Alarm von AntiVir. Alles in Ordnung. Starten Sie ein Update und
der Fehler wird nicht mehr angezeigt. Haha. Guter Witz. Schön wäre es
ja.

4.) Falscher Alarm von AntiVir. Alles in Ordnung. Bei einem unserer nächsten
Updates wird der Fehler behoben sein.

Welche Aussage man glauben soll ist mir mittlerweile ein Rätsel. Ich glaube AVIRA weiß dies selbst nicht so genau.

Was soll ich denn jetzt tun ? Was rät Ihr mir ?

Soll ich mir ein anderes Virenprogramm holen und wenn ja welches ?

Danke für Eure Hilfe

Thomas