Hallo zusammen,
mein AntiVir findet permanent das (gefährliche) Backdoorprogramm BDS/Agent.A. Ich kann es zwar löschen, aber nach wenigen Minuten kommt die Meldung erneut.
Ich hab auch schon ein bissl "gegoogled" und bin auf HijackThis gestoßen und hab auch gleich mal ein Logfile erstellt:

Logfile of HijackThis v1.98.2
Scan saved at 14:27:44, on 14.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\mysql\bin\mysqld.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\software\HijackThis\HijackThis.exe

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: Verknüpfung mit taskmgr.lnk = C:\WINDOWS\system32\taskmgr.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...006_cracks.cab

Wäre super, wenn sich das jemand anschauen könnte und mir einen Tipp geben könnte, wie ich meinen PC wieder sauber bekomm.

Vielen Dank schonmal und viele Grüße,

Tobi

@ kluivert,

lade bitte zunächst den eScan runter, entsprechend der Anleitung. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Hi Shadowdance,

ok, eScan läuft.
Ich poste dann das Ergebnis, wenn mein PC durch ist.

Danke schonmal und Gruß,
Tobi

@ kluivert

Zitat:

Zitat von kluivert

ok, eScan läuft.
Ich poste dann das Ergebnis, wenn mein PC durch ist.

wo läuft der eScan? Auf einem zweiten Computer? Du weisst aber schon, dass der eScan im abgesicherten Modus offline durchgeführt werden soll?

SD

Hi Shadowdance,

ja, eScan läuft gerade auf dem infizierten Rechner.
Mein Kommentar kommt von 2. PC.

Melde mich wieder, wenn das Ergebnis da ist.

Gruß, Tobi

Hi zusammen,

anbei die Einträge des Logfiles, die das Wort "infected" beinhalten:

Sun Nov 14 15:58:07 2004 => File C:\Programme\AVPersonal\INFECTED\A0006119.EXE.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:07 2004 => File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR infected by "TrojanDownloader.Win32.Dyfuca.cq" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:07 2004 => File C:\Programme\AVPersonal\INFECTED\wserv32.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:07 2004 => File C:\Programme\AVPersonal\INFECTED\wserv32.VIR00 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wserv32.VIR01 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wserv32.VIR02 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wudmate.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wudmate.VIR00 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wudmate.VIR01 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Sun Nov 14 15:58:08 2004 => File C:\Programme\AVPersonal\INFECTED\wudmate.VIR02 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Viele Grüße,
Tobi