Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BDS/Agent.AY (https://www.trojaner-board.de/26339-bds-agent-ay.html)

cotton 30.01.2006 12:19
BDS/Agent.AY
 
haalo,

frage: wenn "antivir" einen backdoor(?) erkannt und in quarantäne verschonen hat, ist dann schaden entstanden?

und diese datei löschen?
gab ja schon einen tread hier
http://www.trojaner-board.de/showthr...bds%2Fagent.ay
aber da wurde er ja ausgeführt, also hat schaden angerichtet und sollte beseitigt werden.

BataAlexander 30.01.2006 12:23
Hallo,

wo hat AntiVir ihn den erkannt, dass Du meinst, er sei nicht aktiv gewesen?

Gruß

Schrulli

cotton 30.01.2006 13:07
haalö,

es war nicht auf meinem rechner -

"irgentwann" hat wohl jemand mit dem windows-media-player
radio hören wollen, und dabei ist es dann passiert -

mehrere IE-fenster von alleine geöffnet - user hat gleich internetverb. getrennt.

-> winME, antivir, ZA (...ich weiss;) ), dsl1000, router ... <-
beim nächsten start "kam" scandisk, und antivir sprang an.
>"BDS/Agent.AY" backdoor< usw

ich bekam dann den anruf, und dachte natürlich erstmal daran
-backdoor - neuaufsetzen-

leider wollte user nicht neuaufsetzen :D

ich nahm mir dessen hjt-log vor und studierte :D

nachdem ich alles über google und hier onboard abgeklappert hatte, was so in der log zu finden war, waren einige verdächtige exe (4-5 stück) die wir dann bei jotti scannen ließen - wurde aber nichts gefunden.
(außer 2 hinweise, dass "was gepackt war" ... kanns nicht wiedergeben :confused: )

die datei im ordner infected (antivir) haben "wir" ebenfalls bei jotti prüfen lassen - volltreffer - aber heisst ja bei jedem softwarehersteller anders.

datei(en) (eine kleine "ini" war auch dabei) mit clearprog 8-fach überschrieben,
systemwiederhestellung de- (neustart) und wieder aktiviert,
alles upgedatet.

ist da "was" zu befürchten?

cotton 01.02.2006 00:41
*hochhol*

Zitat:
frage: wenn "antivir" einen backdoor(?) erkannt und in quarantäne verschonen hat, ist dann schaden entstanden?
?

BataAlexander 01.02.2006 01:11
Hallo,
Zitat:
frage: wenn "antivir" einen backdoor(?) erkannt und in quarantäne verschonen hat, ist dann schaden entstanden?
Da hält es sich wie mit Henne und Ei, was war zuerst da.:blabla:

Zitat:
"irgentwann" hat wohl jemand mit dem windows-media-player
radio hören wollen, und dabei ist es dann passiert -
mehrere IE-fenster von alleine geöffnet - user hat gleich internetverb. getrennt.
-> winME, antivir, ZA (...ich weiss ), dsl1000, router ... <-
beim nächsten start "kam" scandisk, und antivir sprang an.
>"BDS/Agent.AY" backdoor< usw
Also muss der ja irgendwie ins System gekommen sein, hört sich an, als sei er aktiv geworden.

Vie entscheidender ist aber diese Aussage
Zitat:
Zitat von cotton
leider wollte user nicht neuaufsetzen :D
Wenn er nicht will, was willst Du tun? Scheinbar kann uns dieser User nicht mal ein HJT Log zur Verfügung stellen und wir müssen alle mal raten und mutmaßen, ob oder ob nicht befallen.

Gruß

Schrulli

cotton 01.02.2006 01:35
mogen ... :D

doch ... user kann hjt-log geben... also eher ich .. hab sie hier :D

ist immer bisschen kompliziert:
fing ja alles an, als ich hier her kam - lesen,lernen - mein pc in ordnung bringen - schwester hat prob´s - in ordnung bringen (naja, also "ihr":D ),
und jetz kommen noch n paar mehr leute "zu mir"
(keine angst, ich schmücke mich nicht mit fremden federn (!), ich verweise immer an "euch" (board) :) )
(nur leider haben die user keine zeit, oder sie verstehen´s nicht, was sie tun solln ...)

anyway ...

Zitat:
Also muss der ja irgendwie ins System gekommen sein, hört sich an, als sei er aktiv geworden.
ich hab die log komplett durchforstet - fand nichts.
aber ich kann sie ja mal posten, wenn ich soll/darf. weiss ja nicht ob hier usw.
soll ich? hier?

BataAlexander 01.02.2006 01:46
Hallo,
Zitat:
Zitat von cotton
aber ich kann sie ja mal posten, wenn ich soll/darf. weiss ja nicht ob hier usw.
soll ich? hier?
JA

Gruß

Schrulli

cotton 01.02.2006 01:52
:) ... ok ... danke.


Logfile of HijackThis v1.99.1
Scan saved at 21:05:33, on 29.01.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\COMPAQ\CPQINET\CPQINET.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\EIGENE DATEIEN\MYTRAFFIC\MT.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\EAUSBKBD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\802.11 WIRELESS LAN\802.11G WIRELESS CARDBUS & PCI ADAPTER HW.21 V1.30\WLANCU.EXE
C:\PROGRAMME\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Programme\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [CPQInet] c:\compaq\CPQInet\CpqInet.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Meine Traffic] C:\EIGENE~1\MYTRAF~1\MT.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
O4 - User Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab

BataAlexander 01.02.2006 21:39
Hallo,

Dein Log sieht sauber aus.

Schau einfach mal hier.

Gruß

Schrulli

cotton 01.02.2006 23:05
:) schön.

den tread im link kenn ich schon, hatte ich als erstes gelesen,
aber da war er ja "aktiv", der "agent"

werd es aber nochmal abarbeiten.

dann hat also antivir "seine hausaufgaben" gemacht :) und das ding gleich "abgefangen".

und - wir haben "den" ja bei jotti hochgeladen und alle V-Scanner "spangen an" - danach haben wir ihn gelöscht -

hätten wir ihn irgentwo einsenden sollen? (wegen "neue art" o.ä.?)

BataAlexander 01.02.2006 23:12
Hallo,
Zitat:
Zitat von cotton
hätten wir ihn irgentwo einsenden sollen? (wegen "neue art" o.ä.?)
den gibt es wohl schn länger....:D

Gruß

Schrulli

Itzeman 07.02.2006 11:36
hallo.

ich hab leider nur wenig ahnng von der materie. ich hab diesen bds/agent.ay auch.
was amcht der denn überhaupt und wie hab ich mir den eingefangen, und vor allem, wie werde ich ihn wieder los. ich hab ne dsl verbindung über router. hab den auch shcon gelöscht, aber der fehler kommt leider immer wieder.
hier ist mal dieses logfile, ich hoffe ihr könnt mir helfen.
mfg
andreas
Logfile of HijackThis v1.99.1
Scan saved at 11:23:29, on 07.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\DOKUME~1\Itzeman\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

cotton 07.02.2006 14:34
@Itzeman
ich finde in deiner log nichts.
du kannst aber mal hier reingucken.
und (falls noch nicht bekannt) hier

BataAlexander 07.02.2006 15:47
Hallo,

@ Itzemanm, öffne bitte einen neuen Thread!

Gruß

Schrulli


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:36 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129