wie krieg ich diesen BDS Agent los?
 

hallo,
ich weiß nix über irgendwelche backdoor-viren, hab aber eben gelesen, dass ihr wisst, was man machen muss, wenn man diesen BDS Agent hat.
also, was muss ich tun (in normalem deutsch bitte!)?

Logfile of HijackThis v1.98.2
Scan saved at 22:48:57, on 15.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Judit\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Hi Judit,

wo wird dir denn dieser BDS-Agent gemeldet, also in welcher Datei und welchem Pfad genau? Erstelle mal bitte für HJT ein eigenes Verzeichnis, man sollte es beim Fixen dann lieber nicht in einem temporären laufen lassen.

mein antivirus-programm (antivir) meldet mir das in unregelmäßigen abständen, d.h. es fragt mich, was mit der datei gemacht werden soll. ich hab sie dann immer löschen lassen, aber die meldung kam kurz danach oder am nächsten tag wieder. dieser bds agent soll sich irgendwo auf der festplatte c in dokumente und einstellungen aufhalten... :confused:
ich hab diese 2 hijack-dateien mal in einen eigenen ordner unter c/programme verfrachtet, is das so richtig oder sollen die auf den desktop?
danke für deine hilfe!
pippilotta (ey, woher kennst du meinen namen?)

Hallo, mache mal bitte folgendes:

okay, ich hab dieses escan runtergeladen und in den neuen ordner entpackt, aber da ist keine datei namens kavupd.exe! es gibt zwei kavupd-dateien, aber die kann ich beide nicht öffnen... komisch.
was nun?

@pippilotta

kuckst du hier
http://www.trojaner-board.de/42731-escan-anleitung.html

(ey, woher kennst du meinen namen?)

C:\Dokumente und Einstellungen\Judit\Lokale Einstellungen\Temp\HijackThis.exe


chaosman

Hallo pippilotta,

mach mal bitte Folgendes: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Wenn Du den eScan vorschriftsgemäß in den Ordner c:\bases entpackt hast, solltest Du nun eine Datei "KAVUpd.dll" und eine Datei "kavupd.exe" entdecken. Die Datei "kavupd.exe" sollst Du nicht öffnen sondern mit der linken Maustaste doppelt anklicken, damit öffnet sich ein Dos-Fensterchen und nun updatet sich der eScan im Netz. Wenn der Update beendet ist, was ein bisschen dauert, gehst Du in den abgesicherten Modus, offline, machst alle anderen Programme aus und läßt den Scan laufen. Wenn der Scan fertig ist, das dauert ca 1 Stunde .. kann auch länger sein, speicherst Du den Report ab, öffnest die "mwav.log" und gibst das Ergebnis folgendermassen ins Forum: Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.[/i]" (Zitat Cidre)

Viel Erfolg!

SD

ja, auf dieser seite hab ich gelesen, dass ich escan aktualisieren muss. also hab ich es runtergeladen, den neuen ordner bases erstellt und das ding da hinein entpackt. aber die datei kavupd.exe, auf die ich laut anleitung doppelklicken soll, gibts bei mir nicht. :confused:

@shadowdance
gut, ich versuchs mal! danke.

okay, hab jetzt alles gemacht. es wurden 22 viren gefunden, aber ich hab jetzt nur diese hier unter "infected" gefunden. hilft das weiter?

Tue Nov 16 21:55:24 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Nov 16 21:55:24 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\CPUFPSAB.EXE.VIR
Tue Nov 16 21:55:24 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\PNUDPTCSP.EXE.VIR

gerade hat sich anti-vir gemeldet und folgende dateien als infiziert gemeldet:

C:\PROGRAMME\GEMEINSAME DATEIEN\QDRAADSE\BBSEDSEC\CPUFPSAB.EXE
C:\Programme\Gemeinsame Dateien\qdraadse\qanefforbt\felqtcsfmu.bdf

@ pippilotta,

gib bitte alle gefundenen Viren an, so wie oben beschrieben.

----------

--> Infiziert mit .. als was? Name der Viren, bitte ;-)

Lieben Gruss
SD

"Agent" ist ein Sammelbegriff für verschiedene Backdoors. Das einzig vernünftige ist es, zu formatieren und den Rechner sicher neu einzurichten.

Warum?
Wie?

Gruß :daumenhoc
Yopie

das is bestimmt ne total bescheuerte frage, aber wie finde ich denn den namen dieser viren heraus????

ich kann nicht alle 22 angeben, weil sich nur diese drei (siehe unten) zeigen, wenn ich unter "infected" suche. ich weiß nur, dass es 22 sind, weil das bei diesem eScan dastand, angezeigt hat es die aber nicht.

mann, ist das nervig... :headbang:

Du öffnest die "mwav.log" im Verzeichnis C:\bases und gibst das Ergebnis folgendermassen ins Forum: Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hast du das so gemacht? Dann müsstest du eigentlich mehr finden als nur diese 3 Einträge

wenn Du die mwav.log öffnest, siehst Du Einträge, die so ähnlich aussehen wie diese:

Tue Nov 16 19:20:51 2004 => File C:\Programme\AVPersonal\INFECTED\XSJQHMB.EXE.TMP.VIR tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\1DF1344F.htm infected by "TrojanDropper.VBS.Balala.b" Virus. Action Taken: No Action Taken.
Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\0EAB13A6 tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\4359334E infected by "I-Worm.Sober.e" Virus. Action Taken: No Action Taken.

und die postest Du dann hier ins Forum.

SD

ja, so hab ichs gemacht. es zeigt mir nur diese drei an!
hab ich evtl. was falsch gemacht, als ich vor dem scannen ausgewählt hab, was (welche drives und so) gescannt werden soll?
am anfang dieser logfile steht jedenfalls folgendes:

Tue Nov 16 21:14:19 2004 => **********************************************************
Tue Nov 16 21:14:19 2004 => eScan AntiVirus Toolkit Utility.
Tue Nov 16 21:14:19 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Tue Nov 16 21:14:19 2004 => **********************************************************
Tue Nov 16 21:14:19 2004 => Version 4.6.5 (C:\bases\mwavscan.com)
Tue Nov 16 21:14:19 2004 => Log File: C:\bases\mwav.log
Tue Nov 16 21:14:20 2004 => Latest Date of files inside MWAV: 16 Nov 2004 22:01:05.
Tue Nov 16 21:14:24 2004 => AV Library Loaded...
Tue Nov 16 21:14:24 2004 => Scanning File C:\bases\kavss.exe
Tue Nov 16 21:14:24 2004 => Scanning File C:\bases\Getvlist.exe
Tue Nov 16 21:14:24 2004 => Scanning File C:\bases\kavss.dll
Tue Nov 16 21:14:24 2004 => Scanning File C:\bases\kavssdi.dll
Tue Nov 16 21:14:25 2004 => Scanning File C:\bases\kavssi.dll
Tue Nov 16 21:14:25 2004 => Scanning File C:\bases\kavvlg.dll
Tue Nov 16 21:14:25 2004 => Scanning File C:\bases\msvlclnt.dll
Tue Nov 16 21:14:25 2004 => Scanning File C:\bases\ipc.dll
Tue Nov 16 21:14:25 2004 => Scanning File C:\bases\main.avi
Tue Nov 16 21:14:25 2004 => Scanning File C:\bases\virus.avi
Tue Nov 16 21:14:25 2004 => Virus Database Date: 2004/11/16
Tue Nov 16 21:14:25 2004 => Virus Database Count: 109685

Tue Nov 16 21:14:29 2004 => **********************************************************
Tue Nov 16 21:14:29 2004 => eScan AntiVirus Toolkit Utility.
Tue Nov 16 21:14:29 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Tue Nov 16 21:14:29 2004 =>
Tue Nov 16 21:14:29 2004 => Support: support@mwti.net
Tue Nov 16 21:14:29 2004 => Web: http://www.mwti.net
Tue Nov 16 21:14:29 2004 => **********************************************************
Tue Nov 16 21:14:29 2004 => Version 4.6.5 (C:\bases\mwavscan.com)
Tue Nov 16 21:14:29 2004 => Log File: C:\bases\mwav.log
Tue Nov 16 21:14:29 2004 => Latest Date of files inside MWAV: 16 Nov 2004 22:01:05.

Tue Nov 16 21:14:29 2004 => Options Selected by User:
Tue Nov 16 21:14:29 2004 => Memory Check: Enabled
Tue Nov 16 21:14:29 2004 => Registry Check: Enabled
Tue Nov 16 21:14:29 2004 => StartUp Folder Check: Enabled
Tue Nov 16 21:14:29 2004 => System Folder Check: Enabled
Tue Nov 16 21:14:29 2004 => System Area Check: Disabled
Tue Nov 16 21:14:29 2004 => Services Check: Enabled
Tue Nov 16 21:14:29 2004 => Drive Check Option Disabled
Tue Nov 16 21:14:29 2004 => Folder Check: Disabled


und am ende das hier:

Tue Nov 16 22:35:50 2004 => Total Files Scanned: 56754
Tue Nov 16 22:35:50 2004 => Total Virus(es) Found: 22
Tue Nov 16 22:35:50 2004 => Total Disinfected Files: 0
Tue Nov 16 22:35:50 2004 => Total Files Renamed: 0
Tue Nov 16 22:35:50 2004 => Total Deleted Files: 0
Tue Nov 16 22:35:50 2004 => Total Errors: 0
Tue Nov 16 22:35:50 2004 => Time Elapsed: 01:04:57
Tue Nov 16 22:35:50 2004 => Virus Database Date: 2004/11/16
Tue Nov 16 22:35:50 2004 => Virus Database Count: 109685

Tue Nov 16 22:35:50 2004 => Scan Completed.

Tue Nov 16 22:55:25 2004 => Virus Database Date: 2004/11/16
Tue Nov 16 22:55:25 2004 => Virus Database Count: 109685
Tue Nov 16 22:55:57 2004 => AV Library Unloaded (3)...

Wenn du bei Drive, all Local Drives ausgewählt hast, dann ist das eigentlich in ordnung

super @ pippilotta,

wir kommen der Sache langsam näher.

nun noch die Namen der Viren: auf Seite bearbeiten gehen -> dann auf der Seite suchen nach "infected" -> Treffer markieren/kopieren und hier posten.

SD

@SD

Das ist ja grade ihr Problem das sie in dieser datei nur diese zeilen findet

@ lidius

genau, du sagst es! es zeigt mir nur diese drei an!!!!

@ pippilotta,,

such mal unter "No Action Taken."

SD

oder noch ne möglichkeit:

öffne die mwXface.log und such da nach infected

okay, da tauchen ziemlich viele auf... weiß jetzt nicht, ob ich alle hab... aber hier erstmal einige:

Tue Nov 16 21:56:49 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:49 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
Tue Nov 16 21:56:49 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.

Tue Nov 16 21:56:49 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll
Tue Nov 16 21:56:50 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:50 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GatorSupportInfo.txt
Tue Nov 16 21:56:50 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll
Tue Nov 16 21:56:50 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:50 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll
Tue Nov 16 21:56:50 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:50 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll
Tue Nov 16 21:56:50 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:50 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll
Tue Nov 16 21:56:50 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:50 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll
Tue Nov 16 21:56:50 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:50 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll
Tue Nov 16 21:56:50 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:50 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll
Tue Nov 16 21:56:50 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:50 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll
Tue Nov 16 21:56:50 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:50 2004 => Scanning File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll
Tue Nov 16 21:56:51 2004 => File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:53 2004 => File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:53 2004 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
Tue Nov 16 21:56:53 2004 => File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:53 2004 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
Tue Nov 16 21:56:53 2004 => File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:54 2004 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
Tue Nov 16 21:56:54 2004 => File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

Tue Nov 16 21:56:54 2004 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\FillIn.wav
Tue Nov 16 21:56:54 2004 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\Gator.log
Tue Nov 16 21:56:54 2004 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll
Tue Nov 16 21:56:54 2004 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
Tue Nov 16 21:56:54 2004 => File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.

Tue Nov 16 21:56:54 2004 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
Tue Nov 16 21:56:55 2004 => File C:\Programme\Gemeinsame Dateien\GMT\GMT.exe tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.

bei dieser anderen logfile hab ich folgendes gefunden:

[msvLclnt.dll] [0x00000434] 16/11/2004 21:14:47:984 :[00000001] File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by not-a-virus:AdWare.Gator.6034
[msvLclnt.dll] [0x00000434] 16/11/2004 21:17:24:734 :VirusCount = 109685 Latest Date = 2004/11/16
[msvLclnt.dll] [0x000003d4] 16/11/2004 21:29:45:046 :VirusCount = 109685 Latest Date = 2004/11/16
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:30:54:156 :[00000001] File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by not-a-virus:AdWare.Gator.6034
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:35:28:187 :[00000001] File C:\Dokumente und Einstellungen\Judit\Desktop\DivXPro511Adware.exe infected by not-a-virus:AdWare.Gator.3202
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:49:859 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:49:968 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by not-a-virus:AdWare.Gator.6034
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:50:093 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:50:250 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:50:359 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:50:437 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:50:515 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:50:640 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:50:781 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:50:859 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:50:921 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:51:093 :[00000001] File C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:53:093 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:53:890 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:53:984 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:54:140 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:54:562 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by not-a-virus:AdWare.Gator.6034
[msvLclnt.dll] [0x000005b4] 16/11/2004 21:56:55:609 :[00000001] File C:\Programme\Gemeinsame Dateien\GMT\GMT.exe infected by not-a-virus:AdWare.Gator.6041
[msvLclnt.dll] [0x000005b4] 16/11/2004 22:04:30:171 :[00000001] File C:\Programme\Quark\QuarkXPress 6.0\Patch1.exe infected by not-a-virus:Tool.Win32.TPE.a
[msvLclnt.dll] [0x000005b4] 16/11/2004 22:04:32:062 :[00000001] File C:\Programme\Quark\QuarkXPress 6.0\Required Components\Patch2.exe infected by not-a-virus:Tool.Win32.TPE.a

damit haben wir sie endlich alle .. und sogar mit Namen .. SUPER @ pippilotta !

also, mal schauen, wie Du die alle wieder wegkriegst.

SD

echt? endlich! so ein glück!
ich geh jetzt aber trotzdem erstmal schlafen, morgen gehts weiter...
schon mal danke für die hilfe!!! :bussi:

@ pippilotta,

bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> "öffne die mwXface.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) ... bzw. alle hier fettangegebenen Dateien in die Windows Suche übertragen und dann löschen:

C:\Programme\Gemeinsame Dateien\CMEII

C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by not-a-virus:AdWare.Gator.6034
C:\Dokumente und Einstellungen\Judit\Desktop\DivXPro511Adware.exe infected by not-a-virus:AdWare.Gator.3202
C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by not-a-virus:AdWare.Gator.6034
C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\CMEII\GController.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll infected by not-a-virus:AdWare.Gator.6041

C:\Programme\Gemeinsame Dateien\GMT

C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by not-a-virus:AdWare.Gator.6041
File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by not-a-virus:AdWare.Gator.6041
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by not-a-virus:AdWare.Gator.6034
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe infected by not-a-virus:AdWare.Gator.6041

was ist das: ???

C:\Programme\Quark\QuarkXPress 6.0\Patch1.exe infected by not-a-virus:Tool.Win32.TPE.a
C:\Programme\Quark\QuarkXPress 6.0\Required Components\Patch2.exe infected by not-a-virus:Tool.Win32.TPE.a

Lade noch das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

... na denn schlaf gut ;-)

SD

Du könntest Dir natürlich auch auf der Seite der Hijacker-Entfernung "Ad-Aware 6 Personal" runterladen und damit die gesammelte Adware von Deinem System löschen lassen.

Nur wo der BDS Agent abgeblieben sein könnte, habe ich noch nicht begriffen.

SD

Vielleicht hat AntiVir das ding doch entfernen können

@ Lidius,

ich nehme an, dass es um diese Dateien geht:

C:\Programme\AVPersonal\INFECTED\CPUFPSAB.EXE.VIR
C:\Programme\AVPersonal\INFECTED\PNUDPTCSP.EXE.VIR

diese beiden liegen im Ordner "C:\Programme\AVPersonal\INFECTED" und können mit dem ClearProg über den Ordner "Temporary Internet Files" gelöscht werden.

Müssten wir noch rauskriegen, welche Viren dies sind:

C:\PROGRAMME\GEMEINSAME DATEIEN\QDRAADSE\BBSEDSEC\CPUFPSAB.EXE
C:\Programme\Gemeinsame Dateien\qdraadse\qanefforbt\felqtcsfmu.bdf

und das geht ja auch über virusscan.jotti.dhs.org.

SD

Aber warum hat escan dann die dateien in der antivir quarantäne nicht bemängelt? normalerweise tut er das doch.

bei den anderen beiden ist jotti wohl wirklich die beste lösung.

pippilotta hat entweder unter "not-a-virus" oder "No Action Taken" gesucht ... angenommen sie hat unter "not-a-virus" gesucht, würde es erklären, dass die infizierten Dateien hier in der Liste nicht zu sehen sind.

Folglich wäre es besser, dass sie bevor sie diese 4 Dateien löscht diese vier Dateien mit virusscan.jotti.dhs.org scannt und uns das Ergebnis der Untersuchung mitteilt von:

C:\Programme\AVPersonal\INFECTED\CPUFPSAB.EXE.VIR
C:\Programme\AVPersonal\INFECTED\PNUDPTCSP.EXE.VIR

C:\PROGRAMME\GEMEINSAME DATEIEN\QDRAADSE\BBSEDSEC\CPUFPSAB.EXE
C:\Programme\Gemeinsame Dateien\qdraadse\qanefforbt\felqtcsfmu.bdf

bleibt zu hoffen, dass Yopie nicht recht behält ...

SD

OT, ja mal Guten Morgen, machen wir halt durch, oder?, liebe Grüße aus Berlin, ein mist Wetter hier, ich glaub, ich steh' heute nicht auf!
Ganz liebe Grüße, der Charlie :teufel3:

OT ... :D
durchmachen geht leider nicht. Ich hab Tippverbot bekommen.
Zu laut ... :rolleyes: --> also http://www.cosgan.net/images/smilie/muede/a025.gif

SD

Von wem?
LG, Charlie
:confused:

hallo, da bin ich wieder!
welche von diesen vielen anleitungen hier soll ich nun machen? (bitte auf deutsch, ich versteh diese hacker-sprache nicht - bin "nur" ne frau! ;) )
ich hab übrigens unter "no action taken" gesucht...

Mache das was Shadowdance hier geschrieben hat.

Die Ausrede du bist nur ne Frau zählt nicht, Shadowdance ist auch eine ;)

wollt ihr diese infos hier haben?


File: CPUFPSAB.EXE.VIR
Status: INFECTED/MALWARE
Packers detected: None

AntiVir BDS/Agent.AY (0.29 seconds taken)
Avast Win32:Trojano-324 (1.54 seconds taken)
BitDefender Backdoor.Agent.AY (1.11 seconds taken)
ClamAV Trojan.Agent.AY (1.44 seconds taken)
Dr.Web No viruses found (2.07 seconds taken)
F-Prot Antivirus W32/Agent.BK (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.67 seconds taken)
mks_vir Trojan.Agent.Ay (0.20 seconds taken)
NOD32 Win32/Agent.AY (0.35 seconds taken)
Norman Virus Control W32/Gator (0.12 seconds taken)



File: PNUDPTCSP.EXE.VIR
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir BDS/Agent.AY (0.15 seconds taken)
Avast Win32:Trojano-324 (1.51 seconds taken)
BitDefender Backdoor.Agent.AY (0.30 seconds taken)
ClamAV Trojan.Agent.AY (0.30 seconds taken)
Dr.Web No viruses found (0.50 seconds taken)
F-Prot Antivirus W32/Agent.BK (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.59 seconds taken)
mks_vir Trojan.Agent.Ay (0.19 seconds taken)
NOD32 Win32/Agent.AY (0.35 seconds taken)
Norman Virus Control W32/Gator (0.12 seconds taken)


File: molbtdatf.pud
Status: OK
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.31 seconds taken)
ClamAV No viruses found (0.56 seconds taken)
Dr.Web No viruses found (0.49 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.58 seconds taken)
mks_vir No viruses found (0.20 seconds taken)
NOD32 No viruses found (0.35 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)


Service load: 0% 100%

File: felqtcsfmu.bdf
Status: OK
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.32 seconds taken)
ClamAV No viruses found (0.42 seconds taken)
Dr.Web No viruses found (0.48 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.57 seconds taken)
mks_vir No viruses found (0.20 seconds taken)
NOD32 No viruses found (0.35 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)


sooo, das wars. und nun? hab ich alles richtig gemacht?

Die Dateien im Quarantäne-Ordner von AVP sind keine temporären Internetdateien und werden daher auch durch das Löschen der temporären Dateien nicht entfernt, ebenso auch nicht durch Clearprog, aber durch das Löschen das Quarantäne-Ordnern in AVP selbst. Sie wurden ja von AVP bereits erkannt und umbenannt, deswegen braucht man sie eigentlich auch nicht mehr Viren zu scannen. :)



Diese Datei:

C:\PROGRAMME\GEMEINSAME DATEIEN\QDRAADSE\BBSEDSEC\CPUFPSAB.EXE

solltest du, wenn sie noch vorhanden ist, im abgesicherten Modus löschen.

Hast du auch C:\Programme\Gemeinsame Dateien\qdraadse\qanefforbt\felqtcsfmu.bdf überprüft und mit welchem Ergebnis?

Ah, da war es ja. Wieso hast du molbtdatf.pud scannen lassen, wo wurde das angezeigt?

Schicke mal molbtdatf.pud und felqtcsfmu.bdf in einer ZIP-Datei an: partytime-germany.ice@web.de

ich weiß nicht, hab ich?!


File: felqtcsfmu.bdf
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.30 seconds taken)
ClamAV No viruses found (0.41 seconds taken)
Dr.Web No viruses found (0.48 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.57 seconds taken)
mks_vir No viruses found (0.20 seconds taken)
NOD32 No viruses found (0.35 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)


okay, dann geh ich mal in den abgesicherten modus und lösch das ding!

okay, hab ich gemacht. wie überprüfe ich, ob ich jetzt wirklich virenfrei bin?

Lasse escan noch einmal im abgesicherten Modus scannen und poste das ergebnis, danach poste auch nochmal ein hijackthis log

verdammte scheiße ey, anti-vir hat mir grad wieder ne gefährliche datei gemeldet! :koch:

C:\PROGRAMME\GEMEINSAME DATEIEN\QDRAADSE\BBSEDSEC\CPUFPSAB.EXE

hab sie löschen lassen...

@ MountainKing

Hast Du schon mal versucht infizierte Dateien aus den Quarantäne-Ordnern in AVP selbst zu entfernen? Weisst Du die Quarantäne-Ordner in AVP zu finden? Ich bitte um Anleitung!

Hallo pippilotta,

nett, Dich wiederzusehen .. alles ok? Ausgeschlafen? Mach bitte, was Lidius Dir empfohlen hat und melde Dich dann wieder u.a. mit einem frischen Hijack This Logfile.

Lieben Gruss von Frau zu Frau ;)
SD

die hattest Du schon:

C:\PROGRAMME\GEMEINSAME DATEIEN\QDRAADSE\BBSEDSEC\CPUFPSAB.EXE

sende sie das nächste Mal bitte passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread - zu Forschungszwecken - und warte das Ergebnis ab.

SD

so, ich hab nochmal einen escan im abgesicherten modus gemacht. jetzt sinds noch 9 viren!

Wed Nov 17 20:35:17 2004 => File C:\Dokumente und Einstellungen\Judit\Desktop\DivXPro511Adware.exe tagged as not-a-virus:AdWare.Gator.3202. No Action Taken.
Wed Nov 17 20:56:03 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Nov 17 20:56:03 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\CPUFPSAB.EXE.VIR
Wed Nov 17 20:56:03 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\PNUDPTCSP.EXE.VIR
Wed Nov 17 20:57:52 2004 => File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
Wed Nov 17 20:57:52 2004 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
Wed Nov 17 20:57:53 2004 => File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
Wed Nov 17 20:57:53 2004 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
Wed Nov 17 20:57:53 2004 => File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
Wed Nov 17 20:57:53 2004 => Scanning File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
Wed Nov 17 20:57:53 2004 => File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
Wed Nov 17 20:57:54 2004 => File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe tagged as not-a-virus:AdWare.Gator.6034. No Action Taken.
Wed Nov 17 20:57:55 2004 => File C:\Programme\Gemeinsame Dateien\GMT\GMT.exe tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
Wed Nov 17 21:06:16 2004 => File C:\Programme\Quark\QuarkXPress 6.0\Patch1.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.

und nun?

Leere den Infected Ordner von AntiVir und lösche diesen Ordner C:\Programme\Gemeinsame Dateien\GMT, sowie C:\Dokumente und Einstellungen\Judit\Desktop\DivXPro511Adware.exe .

wo finde ich denn diesen infected-ordner? direkt bei anti-vir?
und die GMT-datei lässt sich nicht löschen... :mad:

@ pippilotta

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

lies doch mal genau. Was hat Cidre geschrieben? Na? .. ok.

SD

"Hast Du schon mal versucht infizierte Dateien aus den Quarantäne-Ordnern in AVP selbst zu entfernen? Weisst Du die Quarantäne-Ordner in AVP zu finden? Ich bitte um Anleitung!"

Der Name des Ordners ist doch angegeben (Infected)? Ich habe Antivir jetzt nicht installiert, weiss daher nicht genau, ob man aus dem Programm selbst heraus den Quarantäne-Ordner leeren kann, falls nicht, muss man sie eben per Hand löschen evtl. im abgesicherten Modus.

Denkste ;-)

@ MountainKing

Der sogenannte Ordner "INFECTED" bei AntiVir liegt in den Temporary Internet Files .. das ist nun mal so. Einmal darf ich auch etwas besser wissen als Du *g*.

SD

ey leute, das, also diesen haken entfernt und woanders was aktiviert mein ich, hab ich schon gemacht!!!

den infected-ordner hab ich jetzt gefunden und gelöscht, so!

Hast du versucht im abgesicherten modus zu löschen?

muss man für den abgesicherten modus eigentlich auf F4 oder F8 drücken?

@ Lidius,

bei windows XP (und ME) genügt der abgesicherte Modus zum löschen nicht, die Systemwiederherstellung muss auch deaktiviert sein .. wo finde ich nur die Links ... da sind sie: abgesicherter Modus und deaktivierte Systemwiederherstellung.

Nach den Löscharbeiten muss die Systemwiederherstellung wieder aktiviert werden. Das hat mir MountainKing beigebracht ;-)

SD

Du musst beim Systemstart auf F8 drücken

@SD

gut, ich bin deinen links gefolgt, danke! aber ich werde das lieber nicht allein machen, sondern auf meinen pc-erfahrenen mitbewohner warten - der soll das dann mal so hinkriegen, wie's sein soll. ich mit meinem glück in sachen pc mach bestimmt irgendwas falsch...
nochmal danke und bis dann,
lg pippilotta

Wie soll dieser Ordner:

C:\Programme\AVPersonal\INFECTED\

denn im Ordner der Temporary Internetfiles liegen? Vielleicht verwechselst du das damit, dass es bei einem Scan dieses Ordners mit einem anderen Programm dann eventuell eine temporäre Datei als infiziert gemeldet wird.

tja .. das sollte man AntiVir fragen ;-)

Ich habe vor einiger Zeit bei AntiVir versucht rauszukriegen, wie man aus eben diesem Ordner INFECTED infizierte Dateien löschen kann ... und die einzige Antwort, die ich gefunden habe, war, dass AntiVir die infizierten Dateien in den Ordner Temporary Internet Files schiebt, aber die Temporary Internet Files als eigenen Ordner "INFECTED" ausgibt ...

SD

Also ich habe mal im Antivir-Forum nachgeschaut und nichts dergleichen gefunden. Und es gibt ja nicht Antivir diesen Ordner an, sondern beispielsweise HJT oder der Windows-Explorer, dieser Ordner ist definitiv vorhanden und kann geleert werden. Es würde ja auch gar keinen Sinn machen, diese umbenannten Dateien in einem Order zu lagern, der durch Löschen der temporären Dateien geleert werden würde bzw. wo sie früher oder später überschrieben würden. Ich habe Antivir jetzt wie gesagt nicht installiert, sonst könnte man das ja einfach mal mit dem EICAR testen, ich glaube aber, dass du da was verwechselt hast, weil der Pfad ja eindeutig angegeben ist und es außerdem wie gesagt keinen Sinn machen würde. Wo hast du das denn her bzw, wieso sollte es ein Problem sein, diese Dateien ganz normal im abgesicherten Modus aus diesem Ordner zu löschen?

Ich verwende AntiVir nicht. Wenn Du Dich im AntiVir-Forum auf die Suche machst, wie man Viren aus dem Ordner INFECTED löschen kann, wirst Du zu dem gleichen Ergebnis kommen wie ich ... und ein paar Stunden Zeit investiert haben.

SD

Ich hatte bis vor 3 Tagen noch antivir...da hätte ichs testen können, aber nu is zu spät

Ich habe wie gesagt nachgelesen und ich bin mir sicher, dass ich Recht habe. Siehe auch z. Bsp. hier:

http://www.free-av.de/cgi-bin/ubb/ul...c&f=6&t=003144

Überleg doch mal, der Vorgang ist doch so, dass ein Schädling entdeckt und dann gefragt wird, ob er gelöscht oder in die Quarantäne verschoben werden soll (wie bei jedem derartigen Scanner). Das hat den Sinn, dass man die Datei noch zur weiteren Verfügung hat, sie evtl. später desinfizieren kann oder einschicken, auf jeden Fall muss sie weiterhin (in umbenanntem Zustand) auffindbar und bearbeitbar sein, sonst ist die Option der Quarantäne ja in sich unlogisch. Das würde gar nicht gehen, falls es so wäre, wie du sagst, weil die Datei dann einfach irgendwann gelöscht werden würde oder man den Ordner so versteckt hätte, dass man ihn gar nicht richtig wiederfinden oder auf ihn zugreifen könnte. Ich denke, da hat irgendjemand was gründlich verwechselt in dem Thread, den du gelesen hast bzw. würde evtl. ein Temp-Ordner ins Spiel kommen, wenn ein anderer Scanner den umbenannten Schädling in Antivirs Infected-Ordner als solchen entdeckt. Das ist aber dann was ganz anderes. Ich verwette meinen Forums-Account, dass du diese Dateien im Infected Ordner findest und auch dort löschen kannst und sie NICHT bei Clearprogs Reinigung der temporären Internetdateien entfernt werden. :)

@ SD

MountainKing hat vollkommen Recht, der Infected befindet sich unter C:\Programme\AVPersonal. Alles andere wäre unsinnig, wie MK bereits postete. ;)

Bei mir nicht.....

Aber um jetzt die Verwirrung nicht noch größer zu machen: Bei mir liegt er unter E:\AV-Personal. ;)

Also nix mit temporären Dateien. MK, Du darfst Deinen Account behalten. :D

Gruß :daumenhoc
Yopie

ich hab heute im abgesicherten modus alle viren gelöscht, das dann auch gleich mit escan überprüft: es wurden mir diesmal 2 viren angezeigt, die ich aber vorher schon gelöscht hatte! nämlich die bei av personal... weil ich die aber schon gelöscht hatte, waren die schon weg und konnten nich nochmal gelöscht werden... :mad:
und nun?

ich hab jetzt übrigens auch ad-aware. hilft das vielleicht?

ein neues anti-vir update hab ich heute auch runtergeladen. der filewalker zeigte mir dann einen "TD irgendwas"-virus an... das ist ein trojanisches pferd, ne?

ich werd echt noch wahnsinnig wegen dieser ganzen scheiße! wer kann mir helfen??????

@ MountainKing, @ Cidre und @ Yopie ... wenn ich mal wieder zuviel Zeit habe, suche ich die betreffenden Threads für Euch raus.

... und MountainKing, diese Wette finde ich nicht gut, da Du sie leider verlieren wirst, dann müssen wir entweder auf Dich oder auf Deinen hübschen Namen verzichten ... :blabla:

@ pippilotta

erstelle mal bitte ein neues Hijack This Logfile.

SD

Hallo!

Bin auch neu in diesem Forum, aber leider nicht neu mit dem Backdooragent-Problem.

Das ding ist: AV meldet sehr unregelmässig diese Datei, die ich dann immer artig löschen lasse.

Den ursprung hat das in Gemeinsame Dateien
Da gibts bei mir nen Ordner mit dem Spannenden Namen "ufebbbsu".
Und darin sind widerum 2 ordner mit ähnlichen namen. Wenn man die allerdings löscht, sind die in spätestens ner stunde wieder da.

Wo kommen die denn dann her? ich meine: da gibts ja wahrscheinlich irgendwo ne exe die diesen Ordner erstellt. wir müssten ja eigentlich nur rausfinden, wie die Datei heisst!?

@Judit: ich fühle mit dir, glaub mir! :bussi:

Also ich hab mal gerade per Softwareentfernung von XP sowohl DIVX als auch den DIVX Codec weggemacht, denn das war mit gator verknüpft (was ich auch hab, ist eben Adware)

Nu ist der GMT ordner weg und auch mein bsdsuuu bla-blup ordner. bin mal gespannt, ob damit der backdooragent auch weg ist!?

@Dunnagh

Eröffne bitte für dein Problem einen neuen Tread

@Lidius: nicht wenn ich damit auch ihr problem löse... ich beobachte meins noch mal und wenn er sich dann nicht mehr meldet, dann hab ich damit ja wohl auch ihr geholfen, oder?

hallo SD,
hier meine neue highjack this-logfile:


Logfile of HijackThis v1.98.2
Scan saved at 23:15:16, on 19.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Judit\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Hallo pippilotta,

boote dann in den abgesicherten Modus), deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

boote in den normalen Modus.

beende:
GMT.exe

lösche:
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Aktiviere die Systemwiederherstellung.

Und jetzt machen wir noch mal das Gleiche mit Dir, was wir schon einmal gemacht haben ... sei so nett und lade Dir noch eine zweite Version des eScan runter. Es handelt sich hierbei um eine Version des eScan, die Malware löscht. Dazu musst Du allerdings den bereits vorhandenen Ordner "bases" auf C ("C:\bases") umbenennen, in "C:\bases_nodelete". Dazu gibt es eine Anleitung, schau mal hier: Dateien/Ordner umbenennen. Diesen eScan kannst Du dann nicht mehr updaten, da der Ordner-Name nicht so lautet, wie er lauten sollte. Aber zwei eScan-Versionen musst Du ja auch nicht updaten.

Wenn Du das getan hast, kommen wir hierzu:

lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

Erstelle dann auch noch ein weiteres Hijack This Logfile und poste es.

SD

Das könnnte Gator Spyware sein. Hast Du mal mit AdAware ( http://www.lavasoft.de/ ) und / oder Spybot S&D ( http://filepony.de/download-spybot_search_destroy/ ) gescannt?
Ansonsten ist mir an dem Log nichts aufgefallen.

Gruß :daumenhoc
Yopie

@SD

okay, hab ich alles gemacht, nur: ich hab die datei GMT nicht finden können, d.h. ich konnte sie auch nicht löschen.

das ergebnis des neuen escan ist:

Sun Nov 21 00:57:05 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Nov 21 01:06:02 2004 => File C:\Programme\Quark\QuarkXPress 6.0\Patch1.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.
Sun Nov 21 01:06:06 2004 => File C:\Programme\Quark\QuarkXPress 6.0\Required Components\Patch2.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken.


und hier ist die neue highjack this-logfile:

Logfile of HijackThis v1.98.2
Scan saved at 01:25:06, on 21.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Judit\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Hallo pippilotta,

herzllichen Glückwunsch, Du hast es geschafft: Dein Logfile ist sauber.

Besuche diese Seite und lade Dir die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' runter. Scanne mit beiden Programmen Deinen Rechner und lass eventuell noch bestehende Probleme beheben.

Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

Arbeite dann bitte dies durch und melde Dich, wenn Du es geschafft hast:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit

SD