| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BDS/Agent.AY Virus | Please Help Me :DWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
20.10.2004, 00:50
| #1 |
  |  BDS/Agent.AY Virus | Please Help Me :D @ Harry.ohne.ahnung http://www.trojaner-board.de/51130-a...ijackthis.html ==> automatische Auswertung Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß im abgesicherten Modus (Tipp beachten bezgl. Betiebssystems!) von Hand gelöscht werden. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" SD |
|
20.10.2004, 15:40
| #2 |
| |  BDS/Agent.AY Virus | Please Help Me :D Hallo. Benötige Hilfe!
__________________Habe ebenfalls Probleme mit deisem Backdoor und will ihn endlich loswerden. Habe einen Scan mit Escan und HijackThis gemacht und mehr gefunden als mir lieb ist.. Da ich leider mit vielen Einträgen nichts anfangen kann, bitte ich um fachmännische Hilfe. Folgendes ist bei den Scans herausgekommen: Escan Log File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Fischboy\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\SecurityClassLoader.class-798a89d8-6958e7da.class infected by "Exploit.JS.ScriptSrc.a" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Fischboy\Lokale Einstellungen\Temp\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Fischboy\Lokale Einstellungen\Temp\whenu.exe infected by "not-a-virus:AdvWare.SaveNow.i" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Fischboy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\49MNWHER\load[1].hta infected by "TrojanDropper.VBS.Inor.x" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Fischboy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4LSVW1K3\frenz[1].txt infected by "Trojan.VBS.StartPage" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Fischboy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5M3416Z\load[1].hta infected by "TrojanDropper.VBS.Inor.x" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Fischboy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DOGNXLG1\ads2[1].hta infected by "TrojanDropper.VBS.Inor.as" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Fischboy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IVA70RA1\whenu[1].exe infected by "not-a-virus:AdvWare.SaveNow.i" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Fischboy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K5U7GDUB\CASPEFGT.htm infected by "TrojanDownoader.JS.FlingStone" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdvWare.Gain.6041" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\GMT.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File G:\Musikfiles\To Harrys Kiste\Player\NiceMC.exe infected by "not-a-virus:AdvWare.180solutions" Virus. Action Taken: No Action Taken. File G:\Quake3\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File H:\Tools\Audiotools\Audiograbber\AudioGrabber freesetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File H:\Tools\divx\DivXPro502GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File H:\Tools\divx\DivXPro511Adware.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File H:\Tools\Realplayer8\direct show\directshow6.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File I:\Backup PC 2002\AudioTools\Kazaa\KaZaA\My Shared Folder\kmd171_de.exe infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken. File I:\Backup PC 2002\AudioTools\Realplayer8\direct show\directshow6.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File I:\Backup PC 2002\AudioTools\Audiograbber\AudioGrabber 1.81.2 Full Version.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File I:\Backup PC 2002\AudioTools\Audiograbber\agsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. HiJackThis Log Logfile of HijackThis v1.98.2 Scan saved at 16:37:50, on 20.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\WINDOWS\system32\redirect3.exe H:\Tools\Audiotools\iTunes 4\iTunesHelper.exe C:\WINDOWS\System32\DeltTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe H:\Tools\Virusprogramme\AV\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe H:\Tools\Skype (InternetTele)\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe H:\Tools\Virusprogramme\AV\AVGUARD.EXE H:\Tools\Virusprogramme\AV\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\iPod\bin\iPodService.exe H:\Tools\Mozilla1.5\mozilla.exe C:\WINDOWS\System32\cidaemon.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE H:\Tools\Virusprogramme\HiJackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - h:\Tools\Acrobat Reader 6.0.1\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [redirect] C:\WINDOWS\system32\redirect3.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [iTunesHelper] H:\Tools\Audiotools\iTunes 4\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] H:\Tools\Virusprogramme\AV\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "H:\Tools\Skype (InternetTele)\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2D71B78A-7D89-4043-8481-2563E703C317}: NameServer = 213.168.112.60 194.8.194.60 Schon mal vielen Dank im Vorhinen. :aplaus: |
|
20.10.2004, 17:58
| #3 |
| | BDS/Agent.AY Virus | Please Help Me :D Hallo Flanke79,
__________________Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir das aktuelle Service Pack runter und update den IE: www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können. Überprüfe mit dem online-scan von Kaspersky: C:\WINDOWS\system32\redirect3.exe C:\WINDOWS\System32\DeltTray.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck) Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe dann mit Hijack This: O4 - HKLM\..\Run: [redirect] C:\WINDOWS\system32\redirect3.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) Beende: GMT.exe redirect3.exe CMESys.exe" Lösche: C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\WINDOWS\system32\redirect3.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe Aktiviere die Systemwiederherstellung, boote in den normalen Modus. Beachte, dass alle Löscharbeiten im abgesicherten Modus und bei deaktivierter Systemwiederherstellung erledigt werden müssen. Downloade Spybot-Search & Destroy 1.3, scanne Deinen Rechner und lass einige der Probleme aus dem eScan-Test damit beheben. Lade das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf. Von Hand zu löschen: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]: File C:\Dokumente und Einstellungen\Fischboy\Anwendungsdaten\Sun\Java\De ployment\cache\javapi\v1.0\file\SecurityClassLoader.class-798a89d8-6958e7da.class infected by "Exploit.JS.ScriptSrc.a" Virus. Action Taken: No Action Taken. Diese Einträge brauchst Du nicht löschen: File G:\Quake3\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File H:\Tools\Audiotools\Audiograbber\AudioGrabber freesetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File H:\Tools\divx\DivXPro502GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File H:\Tools\Realplayer8\direct show\directshow6.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File I:\Backup PC 2002\AudioTools\Realplayer8\direct show\directshow6.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File I:\Backup PC 2002\AudioTools\Audiograbber\AudioGrabber 1.81.2 Full Version.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File I:\Backup PC 2002\AudioTools\Audiograbber\agsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Erstelle ein neues Hijack This Logfile und poste es. SD |
|
21.10.2004, 19:54
| #4 |
| | BDS/Agent.AY Virus | Please Help Me :D Hi. Habe alles gemacht, was du vorgeschlagen hast. Allerdings besteht das Verzeichnis, das mir bei der BDS/Agent.AY Warnung genannt wird, weiterhin. Ist das OK? Brauchst du eigentlich für deine Analyse noch ein Escan Log? Logfile of HijackThis v1.98.2 Scan saved at 20:46:58, on 21.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe H:\Tools\Audiotools\iTunes 4\iTunesHelper.exe C:\WINDOWS\System32\DeltTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe H:\Tools\Virusprogramme\AV\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe H:\Tools\Skype (InternetTele)\Phone\Skype.exe H:\Tools\Virusprogramme\AV\AVGUARD.EXE H:\Tools\Virusprogramme\AV\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\iPod\bin\iPodService.exe H:\Tools\Virusprogramme\HiJackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - h:\Tools\Acrobat Reader 6.0.1\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [iTunesHelper] H:\Tools\Audiotools\iTunes 4\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] H:\Tools\Virusprogramme\AV\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "H:\Tools\Skype (InternetTele)\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098284544995 Danke. |
|
| Themen zu BDS/Agent.AY Virus | Please Help Me :D |
| abgesicherten modus, adobe, antivir, askbar, avgnt.exe, bho, dateien, desktop, dll, drivers, einstellungen, explorer, file missing, gelöscht, help, hijack, hijackthis, icq, internet, internet explorer, log, microsoft, nvcpl.dll, please help, problem, programme, rundll, software, sun java, system, tcpip, virus, windows, windows xp |
Hybrid-Darstellung
