Trojaner-Board - mal wieder BDS/Agent.AY

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - mal wieder BDS/Agent.AY (https://www.trojaner-board.de/10257-mal-bds-agent-ay.html)

Hi, das clear prog hatte ich zu dem zeitpunkt eigentlich gerade ausgeführt. Ich könnte mir aber vorstellen, dass noch andere Leute temporäre internet files auf diesem Rechner haben. Ich benutze diesen Rechner nicht allein. An deren Sachen komm ich aber nicht ran, denk ich...

Geh bei clearprog auf "alles löschen".

Werds versuchen...
Aber wieso hat das was mit dem Arbeitsspeicher zu tun?
Liegen diese temporären Dateien nicht einfach nur auf der Festplatte rum und nehmen da Platz weg?

Hm, ist alles weg waren aber nur noch 158kB...

Hallo, sternenschwester,
hau dich mal bei google rein und schau zu Temp, temporary internet files, history, content IE5 usw..
Du hast kleinste Verweisdateien im Arbeitsspeicher/Cache, während die Dateiinhalte woanders liegen können.

Ok, verstehe.
Ich hab jetzt "alles löschen" gewählt und alles gelöscht.
Das Ergebnis bleibt aber das gleiche: "Nicht genügend Arbeitsspeicher" :(

Bitte stell mal noch ein aktuelles Logfile rein, möchte so viel wie möglich sehen. Müssen wir halt in Handarbeit was tun. Wieviel es hilft, weiß ich jetzt noch nicht.

Ok, hier das aktuelle log-file:

Logfile of HijackThis v1.98.2
Scan saved at 16:40:25, on 06.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

Also, ich kann nur sagen:
Wenn du dies: C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE kennst und brauchst, und deine Domain die Uni Dortmund mit Ihrem server ist, (was ich gerade gecheckt habe), dann ist alles o.k. und keine verbotenen Prozesse laufen.

Danke, für die liebe Hilfe.

Ich hoffe ich werd sie nicht so bald wieder benötigen. :)

Tja, zu früh gefreut.

Ich habe heute mein AntiVir upgedatet und dann hat er bei der folgenden Suche den BDS/Agent.AY schon wieder gefunden.
Die dazugehörige Datei heißt ezstub.exe und findet sich im Ordner c:\Programme\Gemeinsame Dateien\GMT.

Zusätzlich war noch PMS/Adware.StatBlas drauf (das ließ sich aber durch einaches löschen beseitigen)

Mein hjt logfile sieht so aus:

Logfile of HijackThis v1.99.0
Scan saved at 11:56:59, on 16.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\PROGRAMME\AVWIN9X\UPDATE\ANTIVIR_WORKSTATION_WIN_DE_H.EXE
C:\WINDOWS\TEMP\WZSE0.TMP\DISK_1\SETUP.EXE
C:\PROGRAMME\AVWIN9X\AVWIN.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\PROGRAMME\MICROCAL\ORIGIN 6.0\ORIGIN60.EXE
C:\WINDOWS\SYSTEM\KC9XCR32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
P:\PROGRAMME\CVI5.5\CVI.EXE
C:\PROGRAMME\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVWIN9X\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

Hat noch irgendwer irgendwelche neuen Ideen, wie ich dieses Mistvieh loswerden könnte. So lagnsam geht mir das nämlich echt auf den Senkel!

Dein Problem ist in erster Linie Adware, die du dir selber installiert hast. Precisiontime gehört beispielsweise dazu, du solltest das deinstallieren, GMT gehört wiederum zu GAIN/GATOR, ebenfalls Adware und ebenfalls zu deinstallieren. Bei aus dem Netz heruntergeladenen Programmen immer erst vorher informieren, ob sie Adware enthalten.

Scanne dein System danach mal mit Adaware und Spybot.

Ich werd mein möglichstes beim Deinstallieren tun.
Das Problem ist, dass ich nix von dem selber installiert hab, da das hier ein Unirechner ist, der auch von anderen benutzt wird.
Ich weiß also nicht, was sich hier so alles drauf befindet.
Werde aber mein möglichstes tun um den Schrott wieder loszuwerden. Und dann häng ich hier Installations-Verbotsschilder auf! :)

precisiontime ist weg
gmt konnte ich bei der Software nicht finden, habe aber, wie mir schon weiter unten geraten wurde die .exe schon vor einer ganzen Weile entfernt.

Die beiden scans werd ich morgen durchführen, da dies wie gesagt mein Arbeitsrechner ist und ich jetzt Feierabend mache.

Aber Danke schon mal für den Rat.

Ah, das erklärt natürlich so einiges. Solange du nicht alle Benutzer dazu anhalten kannst, grundlegende Dinge zu beachten, wirst du hier regel,äßiger Gast bleiben (was ja nicht schlecht ist :-)). Da wäre ein Betriebssystem mit mehreren Benutzerkonten wie Xp natürlich vorteilhaft.

Ok, also AdAware hat über 400 kritische Objekte gefunden.

Und ich muss leider gestehen, dass ich keine Ahnung hab, was ich davon entfernen sollte.
Ich geb hier mal die Liste der Target families an und hoffe, dass das schon mal weiterhilft:
MRU List (17 Objects Total)
Claria (25 Objects Total)
Cydoor (2 Objects Total)
DSS Agent (8 Objects Total)
Ezula (234 Objects Total)
MainPean Dialer (10 Objects Total)
Alexa (2 Objects Total)
Tracking Cookie (144 Objects Total)

und Gast bin ich hier gerne, ich verfolge mit großem Interesse auch die Threads anderer Leute und hoffe dabei ein wenig zu lernen.