Trojaner-Board - BDS/Agent.AY

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BDS/Agent.AY - Was tun??? (https://www.trojaner-board.de/18259-bds-agent-ay-tun.html)

BDS/Agent.AY - Was tun???

Hallo zusammen!

Bei der Suche nach Hinweisen, wie ich ein nerviges Backdoorprogramm wegbekomme, bin ich auf diese Seite gestoßen.
Ich habe auch schon einiges gelsen, aber bin nicht wirklich schlauer, da ich viele Beiträge aufgrund fehlenden Computer-Wissens nicht verstehe (z.B. fixen...)

Auf jeden Fall wird auch bei mir seit mehreren Tagen der BDS/Agent.AY angezeigt und ich bekomme ihn nicht weg. Antivir löscht zwar die Datei, aber kurze Zeit später kommt eine erneute Meldung.
Ich gehe über DSL ins Internet und habe alle Updates.

Kann mir bitte jemand für doof erklären, was ich Schritt für Schritt tun muss? Ich möchte endlich wieder einen "sauberen" PC haben!

Vielen Dank schon einmal im Voraus.
Gruß
Yvonne

NACHTRAG:
Ich habe eine gute Anleitung für HJT gefunden und poste hier nun mal das Ergebnis des Scans:

Logfile of HijackThis v1.99.1
Scan saved at 19:59:07, on 25.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINNT\System32\svchost.exe
C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\AMD\Cool'n'Quiet\gemback.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Mouse Driver\mouse_2k.exe
C:\Programme\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
C:\Programme\USB FlashDisk\UFD Utility 2003\UFDTool.exe
C:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\C&E\DTV\RC.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\OpenOffice.org1.1.3\program\soffice.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.citibank.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SANSUNMouse ] C:\Programme\Mouse Driver\mouse_2k.exe
O4 - HKLM\..\Run: [UFD Monitor9382] C:\Programme\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
O4 - HKLM\..\Run: [UFD Utility9382] C:\Programme\USB FlashDisk\UFD Utility 2003\UFDTool.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: RC.lnk = C:\Programme\C&E\DTV\RC.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Ich hoffe, ichhabe alles richtig gemacht und warte nun sehnsüchtig auf Hilfe, denn da ich meinen PC beruflich nutze, mache ich mir schon ein paar Sorgen.

Yvonne

Hallo,

arbeite diese Empfehlung ab -> http://www.trojaner-board.de/showpos...22&postcount=2

Hallo Cidre,

zunächst einmal vielen Dank für deine schnelle Antwort.

Ich habe mir die beiden Programme runtergeladen und sie je 2x ausgeführt. Beim ersten Mal hat sowohl SSD als auch AAW verdächtige Dateien gefunden und diese beseitigt; beim zweiten Mal blieb die Suche bei beiden erfolglos. Allerdings meldet mir SSD dennoch folgenden Fehler: Fehler während der Überprüfung!
Xuron55 (Datei C:\WINNT\win.ini kann nicht geöffnet werden. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird)

Nach einem neuen Scan mit HJT erhalte ich nun folgende Log-Datei:

Logfile of HijackThis v1.99.1
Scan saved at 22:07:47, on 25.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINNT\System32\svchost.exe
C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\AMD\Cool'n'Quiet\gemback.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Mouse Driver\mouse_2k.exe
C:\Programme\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
C:\Programme\USB FlashDisk\UFD Utility 2003\UFDTool.exe
C:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\C&E\DTV\RC.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht**://www.citibank.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SANSUNMouse ] C:\Programme\Mouse Driver\mouse_2k.exe
O4 - HKLM\..\Run: [UFD Monitor9382] C:\Programme\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
O4 - HKLM\..\Run: [UFD Utility9382] C:\Programme\USB FlashDisk\UFD Utility 2003\UFDTool.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: RC.lnk = C:\Programme\C&E\DTV\RC.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Belkin 54g Wireless USB Network Adapter (Belkin 54g Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Die von dir angegebenen Dateien, die ich fixen soll, sind aber nicht da. Ist das möglich oder muss ich noch etwas anderes machen?

Es wäre schön, wenn ich dieses sch*** Backdoorprogramm nun endlich los wäre.

Vielleicht kannst du mir noch einmal eine kurze Rückmeldung geben, ob ich deiner Meinung nach nun Ruhe habe? Das wäre nett.

Ach ja, die gleiche Prozedur sollte ich nun wohl auch mit meinem Laptop durchführen, nicht wahr? Und wahrscheinlich vorher auch nicht wieder im Netzwerk damit arbeiten, oder?

Entschuldige bitte, wenn ich vielleicht ein wenig blöd frage, aber ich habe nur wenig Computerhintergrundwissen und möchte nur auf Nummer Sicher gehen, dass ich alles richtig verstanden und richtig ausgeführt habe.

Mit besten Grüßen
Yvonne

Die 'Xuron55 Meldung' von Spybot S&D kannst du vernachlässigen, siehe auch http://www.trojaner-board.de/showthr...hlight=xuron55.

Dein Log-File sieht wieder sauber aus, demzufolge solltest du die beiden Programme auch auf deinem Laptop mal vorsichthalber anwenden.

Das was von AntiVir fälschlicherweise als Backdoor erkannt wird, ist Wahrheit 'nur' Adware. ;)

Abschließend kann es nicht schaden, wenn du die Absicherungsmaßnahmen in meiner Signatur liest und danach handelst.

Wenn ich könnte, würde ich dich drücken, Cidre!
:knuddel:
Ich habe mir noch einmal deine Tipps durchgelesen und werde sie gleich in die Tat umsetzen.
Ich danke dir ganz herzlich und wünsche dir noch einen angenehmen Abend.
Leider kann ich mich an dieser Stelle nicht erkenntlich zeigen, aber solltest du mal Probleme im Bereich Germanistik (Deutsch) oder Geschichte haben, dann kann ich vielleicht etwas für dich tun (bin nämlich Lehrerin für diese beiden Fächer).

Noch einmal ein dickes Dankeschön aus Oberhausen.

Eine sehr glückliche Yvonne.

Bitte, gern geschehen und danke für dein Angebot. ;)