Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: BDS/AgentAY... HILFE !!!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.10.2004, 03:56   #1
Diskman
 
BDS/AgentAY... HILFE !!!! - Icon16

BDS/AgentAY... HILFE !!!!



Hi, liebe Boarder !!!

Habe mir (lt. meines AntiVirs) den BDS/AgentAY eingefangen. Ich habe mich inzwischen einiges hier durchs Forum gelesen, habe mein Windows2000 upgedated, habe ein/zwei Funde von escan gefixed... und hoffe nun (endlich!!!), diesen "fiesen Möpp" (wie man hierin Kölle so sacht ) los zu sein...

bin mir nur leider nicht ganz sicher - daher poste ich mal das HiJackThis-Log hierher und bitte Euch aufrichtig, mal ein Auge hierauf zu werfen und mir Gewissheit zu geben !!!!!!!


Logfile of HijackThis v1.97.7
Scan saved at 03:35:58, on 19.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
D:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINNT\system32\internat.exe
C:\Programme\Datei\ZoneAlarm\ZoneAlarm\ZoneAlarm\zonealarm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.sports.yahoo.com/foot/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://saoe.com/searchbar.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www-proxy.netcologne.de:8080;http=www-proxy.netcologne.de:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xwebsearch.biz/
F2 - REG:system.ini: UserInit=
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DInfoSetup] C:\Programme\D-Info2000 Kompakt\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD4202\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: NetDSL.lnk = ?
O4 - Global Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Datei\ZoneAlarm\ZoneAlarm\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O15 - Trusted Zone: http://www.wi-im.uni-koeln.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1B5DEC29-99F7-47E1-9F61-8178AF200580} (ePlayer.ePlayerControl) - file://R:\Daten-Vorlesung\ePlayer61.CAB
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://streamp.babenet.com/cabs/videox.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://216.65.38.226/Download_Plugin.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...012.5601388889
O16 - DPF: {A3EC130F-A351-45B0-9BAD-488ED2B7987A} (ePlayer.ePlayerControl) - http://www.wi-im.uni-koeln.de/E-Lear...ng/ePlayer.CAB
O16 - DPF: {A45F39DC-3608-4237-8F0E-139F1BC49464} - http://8803081.offshoreclicks.com/di...s/99950498.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-8D54A7E8A790} (GDIChk Object) - http://www.microsoft.com/security/co...I/0/GDIChk.CAB
O16 - DPF: {AA8BC883-2975-46C8-BBF8-D027E4C332A8} (ePlayer.ePlayerControl) - http://www.wi-im.uni-koeln.de/E-Lear...ng/ePlayer.CAB
O16 - DPF: {CD7D1A37-AD82-11D1-B5F2-00A0C905FF63} (ButtonControl.Button) - file://R:\Cab\NButton2.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {E9C87343-0E63-4ACA-9B76-B155333EE67A} (Main Class) - http://213.131.225.4/ax/AXDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DA6F53B-5A57-4F37-AFD5-2E4753F5B6BE}: NameServer = 81.173.194.68 213.168.112.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DA6F53B-5A57-4F37-AFD5-2E4753F5B6BE}: NameServer = 81.173.194.68 213.168.112.60

Wie gesagt, Ihr tätet mir nen RIESEN Gefallen !!!

Beste Grüße,
Euer Diskman !!!!

PS: Was genau macht eigentlich dieser Möpp - wie gefährlich ist er ?????

Alt 19.10.2004, 04:02   #2
Wattewuschel
 
BDS/AgentAY... HILFE !!!! - Standard

BDS/AgentAY... HILFE !!!!



hallo.

update mal dein hijack this (version v1.98.2), dann poste das damit erstellte log nochmal.

dieser BDS/ Agent AY ist ne Backdoor.
__________________

__________________

Alt 19.10.2004, 04:20   #3
Diskman
 
BDS/AgentAY... HILFE !!!! - Standard

BDS/AgentAY... HILFE !!!!



Guten Morgen Wattewuschel !!!

Hatte nicht gedacht, so früh hier noch jemanden zu finden !!!!

Sorry, wenn ich mich hier schon mit nem Anliegen melde, hätte ich natürlich vorher auch die aktuellste Version von HiJack holen sollen... mea culpa !!

Also, hier auf ein Neues:

Logfile of HijackThis v1.98.2
Scan saved at 04:18:39, on 19.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
D:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINNT\system32\internat.exe
C:\Programme\Datei\ZoneAlarm\ZoneAlarm\ZoneAlarm\zonealarm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\PROGRA~1\Calypso3\Calypso.exe
D:\Programme\emule v43b\emule.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.sports.yahoo.com/foot/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://saoe.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xwebsearch.biz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www-proxy.netcologne.de:8080;http=www-proxy.netcologne.de:8080
F2 - REG:system.ini: UserInit=
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DInfoSetup] C:\Programme\D-Info2000 Kompakt\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD4202\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: NetDSL.lnk = ?
O4 - Global Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Datei\ZoneAlarm\ZoneAlarm\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: http://www.wi-im.uni-koeln.de
O16 - DPF: {1B5DEC29-99F7-47E1-9F61-8178AF200580} (ePlayer.ePlayerControl) - file://R:\Daten-Vorlesung\ePlayer61.CAB
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://streamp.babenet.com/cabs/videox.cab
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://216.65.38.226/Download_Plugin.exe
O16 - DPF: {A3EC130F-A351-45B0-9BAD-488ED2B7987A} (ePlayer.ePlayerControl) - http://www.wi-im.uni-koeln.de/E-Lear...ng/ePlayer.CAB
O16 - DPF: {A45F39DC-3608-4237-8F0E-139F1BC49464} - http://8803081.offshoreclicks.com/di...s/99950498.cab
O16 - DPF: {AA8BC883-2975-46C8-BBF8-D027E4C332A8} (ePlayer.ePlayerControl) - http://www.wi-im.uni-koeln.de/E-Lear...ng/ePlayer.CAB
O16 - DPF: {CD7D1A37-AD82-11D1-B5F2-00A0C905FF63} (ButtonControl.Button) - file://R:\Cab\NButton2.CAB
O16 - DPF: {E9C87343-0E63-4ACA-9B76-B155333EE67A} (Main Class) - http://213.131.225.4/ax/AXDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DA6F53B-5A57-4F37-AFD5-2E4753F5B6BE}: NameServer = 81.173.194.68 213.168.112.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DA6F53B-5A57-4F37-AFD5-2E4753F5B6BE}: NameServer = 81.173.194.68 213.168.112.60
O18 - Protocol: ayb - (no CLSID) - (no file)


So, hoffe, das ist besser so ;-) !!!

PS: Wie gefährlich sind Backdoor-Pgms ???
__________________

Alt 19.10.2004, 07:52   #4
Shadowdance
 
BDS/AgentAY... HILFE !!!! - Standard

BDS/AgentAY... HILFE !!!!



@ Diskman,


lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Die Malware wird von Hand gelöscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Alt 19.10.2004, 11:52   #5
Diskman
 
BDS/AgentAY... HILFE !!!! - Standard

BDS/AgentAY... HILFE !!!!



Hallo Shadowdance !!

Zunächst mal herzlichen Dank an Wattewuschel und Dich für Eure Hilfe !!

Habe grad mit escan 4.5.6 im abgesicherten mode meinen Rechner gescannt (puh, das hat knapp 2 Stunden gedauert ... ;-) !!!) und folgende "infected"-Einträge im log gehabt:

Tue Oct 19 10:32:21 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Oct 19 10:35:20 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.

Hört sich für mich gut an, was sagt Ihr dazu ??

Grüße,
Diskman !!


Alt 20.10.2004, 04:27   #6
Shadowdance
 
BDS/AgentAY... HILFE !!!! - Standard

BDS/AgentAY... HILFE !!!!



@ Diskman,

es hört sich vergleichsweise gut an ;-) Aber Du hast Adware auf Deinem System. Lade bitte zunächst Spybot-Search & Destroy 1.3, lade Dir dann die spybotsd131tx.exe runter und kopiere sie in das bestehende Spybot-Verzeichnis. Scanne damit Deinen Rechner, lass die bestehenden Probleme beheben. Erstelle dann einen Spybot-Report und sende ihn an detections@spybot.info mit Verweis auf diesen Thread und unter Betreff "Searchbar-TBOARD" - zu Forschungszwecken.

Wenn Du damit fertig bist .. kommt der nächste Schritt:

Boote in den VGA-Modus und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://saoe.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xwebsearch.biz/
F2 - REG:system.ini: UserInit=
O4 - Startup: NetDSL.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O18 - Protocol: ayb - (no CLSID) - (no file)

wenn Du diese Einträge nicht kennst/brauchst solltest Du sie ebenfalls fixen:

O16 - DPF: {1B5DEC29-99F7-47E1-9F61-8178AF200580} (ePlayer.ePlayerControl) - file://R:\Daten-Vorlesung\ePlayer61.CAB
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://streamp.babenet.com/cabs/videox.cab
O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://216.65.38.226/Download_Plugin.exe
O16 - DPF: {A3EC130F-A351-45B0-9BAD-488ED2B7987A} (ePlayer.ePlayerControl) - http://www.wi-im.uni-koeln.de/E-Lea...ung/ePlayer.CAB
O16 - DPF: {A45F39DC-3608-4237-8F0E-139F1BC49464} - http://8803081.offshoreclicks.com/d...es/99950498.cab
O16 - DPF: {AA8BC883-2975-46C8-BBF8-D027E4C332A8} (ePlayer.ePlayerControl) - http://www.wi-im.uni-koeln.de/E-Lea...ung/ePlayer.CAB
O16 - DPF: {CD7D1A37-AD82-11D1-B5F2-00A0C905FF63} (ButtonControl.Button) - file://R:\Cab\NButton2.CAB
O16 - DPF: {E9C87343-0E63-4ACA-9B76-B155333EE67A} (Main Class) - http://213.131.225.4/ax/AXDownload.cab

boote in den normalen Modus, erstelle ein neues Hijack This Logfile und poste es.

Viren mit Backdoor-Eigenschaften bedeuten meistens das Aus für ein bestehendes System. Lies hierzu: Begriffsdefinitionen u.a.m.

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.

Alt 20.10.2004, 22:23   #7
Diskman
 
BDS/AgentAY... HILFE !!!! - Standard

BDS/AgentAY... HILFE !!!!



Hi Shadowdance.

Ich hatte zwischenzeitlich Ad-Aware mal über mein System hier laufen lassen, das hatte auch schon einiges an Adware gefunden gehabt... aber dennoch ist Spybot (in etwa 8 Fällen) fündig geworden !!

Mein HiJack This Logfile sieht nun so aus:
Logfile of HijackThis v1.98.2
Scan saved at 22:05:08, on 20.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
D:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Datei\ZoneAlarm\ZoneAlarm\ZoneAlarm\zonealarm.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.sports.yahoo.com/foot/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=www-proxy.netcologne.de:8080;http=www-proxy.netcologne.de:8080
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DInfoSetup] C:\Programme\D-Info2000 Kompakt\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD4202\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Datei\ZoneAlarm\ZoneAlarm\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://www.wi-im.uni-koeln.de

... was sachste dazu ?? Für eine weitere (abschließende) Bewertung wäre ich Dir dankbar !!!

Grüße,
Diskman !!

Alt 21.10.2004, 06:07   #8
Shadowdance
 
BDS/AgentAY... HILFE !!!! - Standard

BDS/AgentAY... HILFE !!!!



Hi Diskman,

gute Arbeit! Das Logfile ist sauber.

Wenn Du sicher gehen willst, dass Du in Zukunft vor Problemen dieser Art geschützt bleibst, rate ich Dir zu einem Browserwechsel, siehe dazu meine Signatur 'TI Hijacker-Rubrik' --> Vorbeugung.

Alles Gute weiterhin und viel Erfolg.
SD

Alt 21.10.2004, 10:31   #9
Diskman
 
BDS/AgentAY... HILFE !!!! - Standard

BDS/AgentAY... HILFE !!!!



Ich bin Euch wirklich extrem dankbar !!!!

Ihr leistet hier schnelle und professionelle Hilfe, erklärt alles so detailliert, daß selbst der größte Laie es nachvollziehen kann... wirklich, ein GANZ GROSSES LOB von mir !!!! :aplaus:

Shadowdance, wenn Du mal nach Köln kommst... melde Dich, dann geb ich Dir einen aus

Bis dahin beste Grüße,
Diskman !!!

Antwort

Themen zu BDS/AgentAY... HILFE !!!!
?????, adobe, bho, dateien, drivers, dsl, escan, explorer, fiese, ftp, google, hijack, hilfe, icq, installation, internet, internet explorer, messenger, microsoft, nvcpl.dll, object, programme, rundll, server, shockwave, software, sun java, system, system32, tcpip, update, windows



Ähnliche Themen: BDS/AgentAY... HILFE !!!!


  1. Oh man brauch so dringend Hilfe!!!! Virus?Spyware? Hilfe für einen Laien!Bitte!
    Log-Analyse und Auswertung - 13.06.2007 (6)
  2. HILFE HILFE HILFE HILFE!!! Löschen der Windows Konfiguration für Drahtlosnetzwerke
    Alles rund um Windows - 13.01.2007 (1)
  3. ZoneAlarm "Fehlendes Zertifikat VSINIT.dll" HILFE HILFE HILFE!!!
    Antiviren-, Firewall- und andere Schutzprogramme - 02.10.2006 (1)
  4. HILFE HILFE HILFE HABE MIR EIN TROJANER EINGEFANGEN MIT DEN NAMEN TR/Drop.Toolbar.A.2
    Log-Analyse und Auswertung - 13.09.2006 (4)
  5. Virus W32/Nsag.B HILFE HILFE HILFE
    Plagegeister aller Art und deren Bekämpfung - 15.09.2005 (4)
  6. BDS/AgentAY HiJack-Bericht
    Log-Analyse und Auswertung - 24.06.2005 (6)
  7. BDS/AgentAY Wie werde ich das Ding los?
    Log-Analyse und Auswertung - 14.05.2005 (8)
  8. Hilfe ich kann Deskophintergrund nicht ändern , zu viel spy und trojas???? hilfe????
    Plagegeister aller Art und deren Bekämpfung - 07.04.2005 (1)
  9. hilfe hilfe hilfe ??? keine ahnung
    Plagegeister aller Art und deren Bekämpfung - 03.04.2005 (3)
  10. BDS/ Agentay Bitte helft mir !
    Log-Analyse und Auswertung - 13.03.2005 (10)
  11. Und nochmal AgentAY..
    Plagegeister aller Art und deren Bekämpfung - 26.02.2005 (21)
  12. Hilfe, Hilfe, Hilfe!!! Viren, Würmer und keine Ahnung was noch alles. Hilfe, Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 31.01.2005 (7)
  13. Hilfe, Hilfe, Hilfe!!! Riesen Probleme mit Wurm & Trojaner
    Log-Analyse und Auswertung - 19.01.2005 (2)
  14. Hijack this log, da BDS/AgentAy
    Log-Analyse und Auswertung - 21.12.2004 (2)
  15. 2 x BDS/AgentAY eingefangen
    Log-Analyse und Auswertung - 08.12.2004 (1)
  16. BDS/AgentAY und andere Probleme - HILFE
    Antiviren-, Firewall- und andere Schutzprogramme - 24.11.2004 (6)
  17. TRojaner, BDS/AgentAY,kein Arbeitsspeicher um escan zu laden etc.
    Plagegeister aller Art und deren Bekämpfung - 03.10.2004 (1)

Zum Thema BDS/AgentAY... HILFE !!!! - Hi, liebe Boarder !!! Habe mir (lt. meines AntiVirs) den BDS/AgentAY eingefangen. Ich habe mich inzwischen einiges hier durchs Forum gelesen, habe mein Windows2000 upgedated, habe ein/zwei Funde von escan - BDS/AgentAY... HILFE !!!!...
Archiv
Du betrachtest: BDS/AgentAY... HILFE !!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.