|
Probleme mit BDS\Agent.Ay... Hallo zusammen, bin heute erstmalig mit virenbefall konfrontiert worden, mein antivir meldete mir eine gefährliche datei mit backdoorverhalten:lmaa: ... hab erstmal versucht mit antivir zu löschen , kommt aber immer wieder das ding und legt sich einen ordner in Gemeinsame dateien an der heisst ppllphtl oder bfcncjbpa:confused: , ich hab scho probleme gehabt im task man die prozesse zu unterscheiden welche sein müssen u welche nicht deswegen wäre ich echt froh wenn sich jemand die mühe machen könnte mein mit hjt erstelltes Log zu lesen und mir evtl weiter hilft das:pukeface: denn zu fixen , davon habsch nämlich koa ahnung . schonma dank im vorraus an euch alle :heilig: :heilig: :heilig: schön das es solche wie euch gibt....:daumenhoc ich weiss nur mal wieder , dass ich viel zu wenig weiss Logfile of HijackThis v1.99.1 Scan saved at 22:24:28, on 20.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Valve\Steam\Steam.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avant Browser\avant.exe C:\Programme\WinRAR\WinRAR.exe C:\Dokumente und Einstellungen\++++\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wbw.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - hxxp://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{081C45E1-F018-4EA2-BC32-67AC0372189E}: NameServer = 192.168.0.1,0.0.0.0 O17 - HKLM\System\CS1\Services\Tcpip\..\{081C45E1-F018-4EA2-BC32-67AC0372189E}: NameServer = 192.168.0.1,0.0.0.0 O17 - HKLM\System\CS2\Services\Tcpip\..\{081C45E1-F018-4EA2-BC32-67AC0372189E}: NameServer = 192.168.0.1,0.0.0.0 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe das is das log was hijackthis nach dem löschen von jener datei gemacht . jetzt ist die datei wieder da( aber in dem log habichs jetzte nich gesehen?) also ich wart dann mal auf eure antwort....:o |
Hallo alec_empire, downloade Adaware Spybot S&D. Installieren und updaten. Deinstalliere über Systemsteuerung/Software --> Gain oder Gator sowie weitere die unbekannte Programme. Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken): O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe Lösche folgende Ordner (falls noch vorhanden) manuell: C:\Programme\Gemeinsame Dateien\CMEII C:\Programme\Gemeinsame Dateien\GMT Papierkorb leeren Mit Adaware und Spybot scannen und alle Funde löschen. Neustart -> Systemwiederherstellung kann wieder aktiviert werden Benutze zum Surfen zukünftig einen sicheren Browser . Neues Logfile und berichten dartus |
>>Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):<< bis hierhin erstmal alles runtergeladen und installiert , adaware startete gleich und meldete auch diesen GAIN und noch so n claria, soweit ich vermute hängt der mit dem aktuellen Divx-player und codec zusammen den ich kürzlich runtergeladen hab. das mit dem link versteh ich schon nicht, soll ich den aus´m abgesicherten modus starten?? jedenfalls gibst den link so irgendwie nicht mehr... laut bsi seite(die gibbet noch). achja den divxplayer hab ich ersma vorsorglich deinstalliert.. sonst hab ich keine unbekannten inner software die ich über systemsteuerung löschen wolltesolltemüsste.... ansonsten bräuchtsch noch ne ansage wie ich die systemwiederherstellung aussschalt oder wie das mit dem link gemeint ist, vielleicht seh ich echt nimmer durch:heulen: vorab zwischendurch schonma ein kleines RIESENDANKE für die hilfe :aplaus: |
In dem Link ist ein l zuviel, versuche diesen: http://www.systemwiederherstellung-d...indows-xp.html Der funktioniert! |
>>Der funktioniert![/QUOTE]<< ok .musste auch erstma schlafen:balla: war heut morgen echt froh und überrascht sofort antwort zu kriegen , habs gestern noch prob. aber so unkonzentriert wollt ich nichs verbacken... jetzt hab ich gleich das näxte problemchen, nach deaktivierung der systemwiederherstellung , lässt sich mein pc nicht im abgesicherten modus hochfahren.nachdem ich mich als administrator anmelde verreckt der beim benutzereinstellungen laden (hab wirklich 15-20min gewartet). so fährt er normal hoch....:confused: jetzt habsch noch fragen : ihr schreibt mir ich solle zum surfen einen vernünftigen browser benutzen, ich habe auf empfehlung eines freundes den avant gewählt , weil der mir versicherte der avant stopft die löcher die der ie hat und funzt sonst ähnlich und ich fands halt bequem fast die selbe benutzeroberfläche zu haben .... das messenger auch nicht sinnvoll ist zu benutzen weiss ich ja eigentlich auch ,sorry, is Trillian z.b. o.k.?:confused: ansonsten wollt ich fragen ob ich nochmal n HJTlog machen soll , oder ob das ohne die löschung im abgesicherten eh nix bringt??..... ansonsten (das ich nicht in den abgesicherten komm,was ja schon schei... ist) läuft ja eigentlich alles normal(aus meiner bescheidenen sicht) auch die immer wieder erscheinenden ord´ner in gemeinsame dateien tauchen nicht mehr auf....???? |
Hallo erstmal. Also ich habe auch diesen Agent AY. Habe CME II und GMT erstmal gelöscht. Ebenso Gator. Der Ordner, der sonst immer erstellt wurde wird ebenfalls nichtmehr erneuert und AntiVir zeigt seitdem auch keine meldung mehr an. Ich wollt daher fragen, ob ich hir auch mal ein Logfile reinstellen soll oder, ob es nichtmehr nötig ist. Und ich wollte auch fragen ob der AgentAY sytemeinstellungen verändert haben kann die trotzdem noch zugriff aufs Systhem von außen erlauben? Bzw. ob dies überhaupt möglich ist, da ich hinter einem Router sitze mit stets eingeschalteter Firewall. Schonmal danke im Vorraus! MFG |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:37 Uhr. |
Copyright ©2000-2024, Trojaner-Board