Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BDS/Agent.ay nervt !!!! (https://www.trojaner-board.de/13669-bds-agent-ay-nervt.html)

jb_1 11.02.2005 21:53
BDS/Agent.ay nervt !!!!
 
Hallo an alle,
seit einiger habe ich auch mit dem BDS/Agent.ay zu kämpfen. :schrei:
AntiVir meldet dann:

09.02.2005 18:52:15: Die Datei "C:\PROGRAMME\GEMEINSAME DATEIEN\AFPJFHLT\LPNNLBCR\FNPNHBLL.EXE" ist infiziert mit dem Virus "BDS/Agent.AY"
09.02.2005 18:54:10: Die Datei wurde gel”scht.
09.02.2005 18:54:14: Die Datei "C:\PROGRAMME\GEMEINSAME DATEIEN\AFPJFHLT\ALJNAJHNNR\NTPPHAEPL.EXE" ist infiziert mit dem Virus "BDS/Agent.AY"
09.02.2005 18:54:16: Die Datei wurde gel”scht.

Da ich dieses Forum bzgl. BDS/Agent seit einigen Tagen genau durchforste, weiss ich, dass ein eScan- und ein HijackThis-Log für die Fehlersuche erforderlich sind.
Ich hoffe jemand kann mir weiterhelfen.

Fragen:
Ich verwende AntiVir und ZoneAlarm. Warum habe trotzdem den Virus ?
Ich komme ums Verrecken nicht in den abgesicherten Modus. Ich kann die Strg-Taste drücken so lange ich will. Was kann ich tun ?

Hier mein eScan- und HijackThis-Log:

eScan:

Fri Feb 11 18:53:23 2005 => ***** Scanning complete. *****

Fri Feb 11 18:53:23 2005 => Total Files Scanned: 24127
Fri Feb 11 18:53:23 2005 => Total Virus(es) Found: 37
Fri Feb 11 18:53:23 2005 => Total Disinfected Files: 0
Fri Feb 11 18:53:23 2005 => Total Files Renamed: 0
Fri Feb 11 18:53:23 2005 => Total Deleted Files: 0
Fri Feb 11 18:53:23 2005 => Total Errors: 0
Fri Feb 11 18:53:23 2005 => Time Elapsed: 01:04:10
Fri Feb 11 18:53:23 2005 => Virus Database Date: 2005/02/08
Fri Feb 11 18:53:23 2005 => Virus Database Count: 117575

Fri Feb 11 18:53:23 2005 => Scan Completed.

Die Liste der Viren habe ich aus Platzgründen nicht angehängt. Kann ich aber nachreichen.


Logfile of HijackThis v1.99.0
Scan saved at 19:01:36, on 11.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\DCFSSVC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\FPDISP5A.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=10.162.203.62:3128;https=10.162.203.62:3128;ftp=10.162.203.62:3128;socks=10.162.203.62:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: WEB.DE Internet Explorer Toolbar - {A6F74643-242A-A7A4-8DD5-DB40B9E25345} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\WEBDETB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Dcfssvc] C:\WINDOWS\System32\Drivers\dcfssvc.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://10.162.203.62:3128/ken.html
O16 - DPF: {A6F74643-242A-A7A4-8DD5-DB40B9E25345} (WEB.DE Internet Explorer Toolbar) - http://download.smartsurfer.web.de/toolbar/webdetb.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://H:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} - file://H:\components\wmvhdrating.ocx
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} - file://H:\components\hidinputmonitorx.ocx



Danke vorab für die Mühe !

chaosman 11.02.2005 21:55
@jb_1
poste bitte folgendes
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

jb_1 11.02.2005 22:22
Hallo !

Danke für die schnelle Reaktion :daumenhoc

Hier der fehlende eScan-Log (Achtung: Nicht im abgesicherten Modus):


File C:\PROGRA~1\GEMEIN~1\CMEII\CMESYS.EXE infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
File C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE infected by "not-a-virus:AdWare.Gator.2102" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\GEMEIN~1\CMEII\CMESYS.EXE infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\webdetb.dll infected by "not-a-virus:AdWare.ToolBar.SearchIt.c" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\GMT\DashBar.dll infected by "not-a-virus:AdWare.ToolBar.DashBar" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\store\apps\precisiontime2102.zip infected by "not-a-virus:AdWare.Gator.2102" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\store\apps\datemanager2102.zip infected by "not-a-virus:AdWare.Gator.4116" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\PrecisionTime\precisiontime2102.zip infected by "not-a-virus:AdWare.Gator.2102" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\PrecisionTime\InstallPrecisionTime.exe infected by "not-a-virus:AdWare.Gator.2102" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\DateManager\datemanager2102.zip infected by "not-a-virus:AdWare.Gator.4116" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\DateManager\InstallDateManager.exe infected by "not-a-virus:AdWare.Gator.4116" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\DashBar\dashbar2100.zip infected by "not-a-virus:AdWare.ToolBar.DashBar" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\CMEII\apps\DashBar\InstallDashBar.exe infected by "not-a-virus:AdWare.ToolBar.DashBar" Virus. Action Taken: No Action Taken.
File C:\Programme\PrecisionTime\PrecisionTime.exe infected by "not-a-virus:AdWare.Gator.2102" Virus. Action Taken: No Action Taken.
File C:\Programme\Date Manager\DateManager.exe infected by "not-a-virus:AdWare.Gator.4116" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\666461B3.002 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\E63D3080.25E infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\DashBar\DbAu.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\Programme\DashBar\DashBar21.dll infected by "not-a-virus:AdWare.ToolBar.DashBar" Virus. Action Taken: No Action Taken.

dartus 11.02.2005 22:36
Hi,

versuch es mal mit der F5-Taste, um in den abgesicherten Modus zu kommen.
Wenn es geklappt hat, lösche folgende Ordner:

C:\Programme\Gemeinsame Dateien\GMT
C:\Programme\Gemeinsame Dateien\CMEII
C:\Programme\PrecisionTime
C:\Programme\Date Manager
C:\Programme\DashBar
C:\WINDOWS\Downloaded Program Files\CONFLICT.3

dartus

chaosman 11.02.2005 22:40
@jb_1
abgesicherten modus
update dein IE
wechsle in den abgesicherten modus und fixe mit HJT

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=10.162.203.62:3128;https=10.162.203.62:3128;f tp=10.162.203.62:3128;socks=10.162.203.62:1080
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://10.162.203.62:3128/ken.html
lösche danach manuell
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
neu booten, neues HJT logfile posten
chaosman

cacatoa 11.02.2005 22:40
Hi, kurzes Einmisch:
erstmal versuchen GMT zu deinstallieren, geht manchmal; dann alles löschen.

jb_1 11.02.2005 23:57
@dartus

Der Tip mit F5 war super !
Folgende Ordner konnte ich nicht löschen:
C:\Programme\Gemeinsame Dateien\GMT
->Fehler beim Löschen der Datei: EGGCEngine kann nicht gelöscht werden: Zugriff verweigert

Folgende Programme habe nicht gelöscht sondern deinstalliert:
C:\Programme\PrecisionTime
C:\Programme\Date Manager
C:\Programme\DashBar

C:\WINDOWS\Downloaded Program Files\CONFLICT.3 war nicht mehr da !?

@chaosman
ich habe zuerst dartus' Anweisungen befolgt und dann Deine. Ich hoffe ich habe jetzt nicht zu viel gelöscht.

Hier der neue HJT-Log:
Logfile of HijackThis v1.99.0
Scan saved at 23:34:36, on 11.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: WEB.DE Internet Explorer Toolbar - {A6F74643-242A-A7A4-8DD5-DB40B9E25345} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\WEBDETB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Dcfssvc] C:\WINDOWS\System32\Drivers\dcfssvc.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O16 - DPF: {A6F74643-242A-A7A4-8DD5-DB40B9E25345} (WEB.DE Internet Explorer Toolbar) - http://download.smartsurfer.web.de/toolbar/webdetb.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://H:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} - file://H:\components\wmvhdrating.ocx
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} - file://H:\components\hidinputmonitorx.ocx

Ist jetzt alles ok ?

dartus 12.02.2005 02:33
Hi,

leider noch nicht.

Ist ja noch da.

C:\PROGRAMME\GEMEINSAME DATEIEN\GMT

Mach mal das:

Downloade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK
Gehe im linken Fenster zum besagten Ordner und lösche ihn (markieren -> F8 -> JA).

dartus

jb_1 12.02.2005 09:47
@dartus

konnte im normalen Modus de GMT-Ordner doch löschen.

Hier ein aktuelles HJT-Log:

Logfile of HijackThis v1.99.0
Scan saved at 09:47:22, on 12.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\DCFSSVC.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\FPDISP5A.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.31\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: WEB.DE Internet Explorer Toolbar - {A6F74643-242A-A7A4-8DD5-DB40B9E25345} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\WEBDETB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Dcfssvc] C:\WINDOWS\System32\Drivers\dcfssvc.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O16 - DPF: {A6F74643-242A-A7A4-8DD5-DB40B9E25345} (WEB.DE Internet Explorer Toolbar) - http://download.smartsurfer.web.de/toolbar/webdetb.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://H:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} - file://H:\components\wmvhdrating.ocx
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} - file://H:\components\hidinputmonitorx.ocx

Ist jetzt alles OK ?

chaosman 12.02.2005 12:58
@jb_
update dein IE

hast du noch nicht gemacht.
logfile ist unauffällig
chaosman

jb_1 12.02.2005 13:07
Hallo chaosman,

du hast Recht, den IE muss ich noch akualisieren. Aber vielleicht könntest trotzdem noch den aktuellen eScan-Log (abges. Modus) anschauen.
Den HJT-Log im abgesicherten Modus habe ich auch nochmal durchgeführt.

Es werden immernoch 10 Viren gefunden. Wie kann ich diese entfernen ?

Der Ordner C:\WINDOWS\Downloaded Program Files\CONFLICT.3 , den ich löschen sollte, ist nicht zu sehen ?!
Was soll ich machen ?

Sat Feb 12 12:28:08 2005 => Total Files Scanned: 24070
Sat Feb 12 12:28:08 2005 => Total Virus(es) Found: 10
Sat Feb 12 12:28:08 2005 => Total Disinfected Files: 0
Sat Feb 12 12:28:08 2005 => Total Files Renamed: 0
Sat Feb 12 12:28:08 2005 => Total Deleted Files: 0
Sat Feb 12 12:28:08 2005 => Total Errors: 0
Sat Feb 12 12:28:08 2005 => Time Elapsed: 01:01:36
Sat Feb 12 12:28:08 2005 => Virus Database Date: 2005/02/08
Sat Feb 12 12:28:08 2005 => Virus Database Count: 117575

Sat Feb 12 12:28:08 2005 => Scan Completed.

File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\webdetb.dll infected by "not-a-virus:AdWare.ToolBar.SearchIt.c" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\EGGCEngine.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\EGIEProcess.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\gtrawbm.fil infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\666461B3.002 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\E63D3080.25E infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.



Logfile of HijackThis v1.99.0
Scan saved at 10:58:49, on 12.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F1 - win.ini: run=C:\WINDOWS\hpfsched.exe
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: WEB.DE Internet Explorer Toolbar - {A6F74643-242A-A7A4-8DD5-DB40B9E25345} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.3\WEBDETB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Dcfssvc] C:\WINDOWS\System32\Drivers\dcfssvc.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\SYSTEM\fpdisp5a.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O16 - DPF: {A6F74643-242A-A7A4-8DD5-DB40B9E25345} (WEB.DE Internet Explorer Toolbar) - http://download.smartsurfer.web.de/toolbar/webdetb.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://H:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} - file://H:\components\wmvhdrating.ocx
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} - file://H:\components\hidinputmonitorx.ocx

chaosman 12.02.2005 13:10
@jb_1
diese dateien in den abgesicherten modus manuell löschen
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\webdetb.dll infected by "not-a-virus:AdWare.ToolBar.SearchIt.c" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\EGGCEngine.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\EGIEProcess.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\gtrawbm.fil infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\666461B3.002 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\E63D3080.25E infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
vorher den taskmanager anschauen, eventuell laufenden prozessen beenden, anders kann man die nicht löschen.
anders mit killbox versuchen

Alle dateien anzeigen
Entweder -> Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Oder -> Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum besagten Ordner oder Datei und lösche diese (markieren -> F8 -> JA).

chaosman

jb_1 12.02.2005 13:21
@chaosman

die Ordneroptionen im Explorer sind genauso eingestellt, wie du sagst. Ich sehe den Ordner trotzdem nicht. Ich sehe nur mehrer Elemente des Typs ActiveX-Steuerelement.

Ich denke auch, dass ich mit dem Total-Commander nichts anderes sehen werde, oder ?

Gruss

jb_1

jb_1 12.02.2005 21:52
@chaosman

nachdem "Papierkorb leeren" durchgeführt habe, waren die infizierten Files unter C:\RECYCLED\DC3\ weg.

eScan findet jetzt nur noch:
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\webdetb.dll infected by "not-a-virus:AdWare.ToolBar.SearchIt.c" Virus. Action Taken: No Action Taken.

Ich habe die gesamte Festplatte nach "webdetb.dll" absuchen lassen. Dieses File wird nicht gefunden. Der Ordner "CONFLICT.3" existiert auch nicht :confused:
Wie kann eScan dieses File anmosern ?

Gruss

jb_1

Zitat:
Zitat von chaosman
@jb_1
diese dateien in den abgesicherten modus manuell löschen
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\webdetb.dll infected by "not-a-virus:AdWare.ToolBar.SearchIt.c" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\EGGCEngine.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\EGIEProcess.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
File C:\RECYCLED\DC3\gtrawbm.fil infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\666461B3.002 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\E63D3080.25E infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
vorher den taskmanager anschauen, eventuell laufenden prozessen beenden, anders kann man die nicht löschen.
anders mit killbox versuchen

Alle dateien anzeigen
Entweder -> Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Oder -> Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum besagten Ordner oder Datei und lösche diese (markieren -> F8 -> JA).

chaosman

dartus 12.02.2005 21:58
hallo jb_1,

wenn Du den Total Commander, wie schon 2 mal empfohlen, gesaugt hättest, wäre die Sache erledigt!
Hatte mal das gleiche Prob! ;)
Das Tool zeigt Dir den Ordner!!!

dartus

jb_1 13.02.2005 14:01
@dartus
Danke für den Hinweis "Das Problem hatte ich auch" !
Das muss einem doch gesagt werden :D

Jetzt findet auch eSacn nichts mehr.

Danke nochmal an Euch für die Tatkräftige Unterstützung. Super, dass es so hilfreiche Spezialisten gibt :aplaus:

Werde dieses Forum weiterempfehlen.

Gruss

jb_1

eta 15.08.2005 21:49
Hallo Zusammen,
bin absoluter Neuling und habe leider nicht so den Durchblick. Ich habe mir leider 2 Viren bzw. Würmer eingefangen! 1. der Worm/Sober.C1 und 2. BDS/Agent.AY Es wurden ca. 81 Dateien unter C:\_Restore\archive durch Antivir gefunden aber konnte nicht gelöscht werden, weil Antivir die Löschung von Archiv Dateien nicht vornimmt. Es sind z.B. die Dateien FS464.CAB und FS465.CAB usw bis FS630.CAB befallen. (mit einigen Ausnahmen) WAS KANN ICH TUN??? Hilfe !!
Gruß eta

dartus 15.08.2005 22:13
Hallo eta,

deaktiviere die Systemwiederherstellung --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden
http://www.systemwiederherstellung-d...indows-xp.html

dartus

Mario1980 03.09.2005 08:23
Hallo allerseits! :)

Bin neu hier und hoffe es kann mir jemand weiterhelfen. :)

Ich habe bereits mehrere Male versucht mit meinen beiden Antiviren Programmen (Kaspersky Anti-Virus Scanner und AntiVir Personal Edition Classic) den BDS Agent AY Virus zu löschen, aber ohne Erfolg. Wenn ich beim nächsten Mal den PC wieder hochfahre wird er wieder von beiden Programmen gefunden obwohl ich ihn das letzte mal gelöscht habe.

Habe mir bereits Hijack This besorgt und einen Scan durchgeführt. Hier ist das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 09:15:28, on 03.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
C:\Total Recorder\TotRecSched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Mario\LOKALE~1\Temp\Rar$EX00.078\Hijack This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Total Recorder\TotRecSched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [MSN Video Enhanced] "C:\Programme\MSN Video Enhanced\MSNVE.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Download the &current page with Offline Explorer - file://C:\Programme\Offline Explorer\Add_AllO.htm
O8 - Extra context menu item: Download using Offline &Explorer - file://C:\Programme\Offline Explorer\Add_UrlO.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1125596097703
O17 - HKLM\System\CCS\Services\Tcpip\..\{B049191A-95C2-4366-9BFA-5C98E6277E98}: NameServer = 212.88.160.2 212.88.160.5
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /Service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /Service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Das ist jetzt alles schön und gut was mir da angezeigt wird, aber ich habe absolut keine Ahnung was das alles heissen soll. :D Was kann / muss ich löschen um diesesn BDS Agent AY wegzukriegen?

Many thx :)

Greets,
Mario1980


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131