Trojaner-Board - Antivir findet Backdoor BDS/Agent.AY

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antivir findet Backdoor BDS/Agent.AY (https://www.trojaner-board.de/7421-antivir-findet-backdoor-bds-agent-ay.html)

@xtrem

Du solltest unbedingt www.windowsupdate.com besuchen und alle Updates und Patches installieren.

Fixe mit HijackThis dies:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
C:\WINDOWS\SYSTEM\blank.htm

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} -
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame
Dateien\CMEII\CMESys.exe

O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab

Bei den folgenden Dateien handelt es sich um Spy- bzw. Adware.
Du solltest die Dateien löschen:
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Hi,
also ich habe jetz mal im abgesicherten modus escan durchlaufen lassen.
Er hat auch eine Datei gefunden die remove.exe hieß - er kannte die datei unter TrojanDownloader.win32 bla bla also wird er das wohl sehr wahrscheinlich gewesen sein. zumal ich jetz vor ner halben stunde die files wieder gelöscht habe die antivir anzeigte und bis jetz keine neue meldung bekomm habe - das wars dann wohl :) btw hab auch mal die sachen im hjt gefixed - danke dafür christian - gator und der andere mist sind jetz runter :)

gruß xtrem

Da gibt's ne Hilfe gegen BDS/Agent.AY !!! Und zwar ein Scan-Programm genannt a2 (a hoch 2 / a squared 2). Das ist zwar kostenlos aber man muss sich registrieren. (am besten auf nen E-Mail-Account, wo Du Spam-Mail hinbestellst oder so wat!). Bei mir hat das Programm auf jeden Fall geholfen. Es hat ca. 1 Stunde gescannt und dabei 8 Trojaner gefunden. Daraufhin kann man das Gefundene rauslöschen!!! (Der Ordner in C:Programme/Gemeinsame Dateien kommt zwar wieder aber die gefährliche EXE-Datei bleibt aus)

Lest mal unter Folgendem Link/URL das Forum bzw. ladet das Programm unter zweitem Link/URL

http://forum.mikes-pchilfe.de/index....;threadid=3395
http://www.mikes-pchilfe.de/goto.php...details&id=118

Das klappt auf jeden Fall, trotzdem viel Glück, sycoman76

...

Danke *Christian* , auch wenn sich mein Trojaner scheinbar in Luft aufgelöst hat. Ich habe Antivir mehrmal laufen lassen und der Trojaner scheint tatsächlich weg zu sein...ich kanns mir nicht erklären, wieso er auf einmal verschwunden ist, aber ganz unzufrieden bin ich damit ja auch nicht *g*

mfg
Empoper

So, ich habe seit kurzem das Prob mit dem agent.ay
Hier die Log file von HJT:

Logfile of HijackThis v1.98.2
Scan saved at 13:53:35, on 29.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Antivi\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
D:\Programme\Antivi\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Trillian\trillian.exe
D:\desktop\Ich\steam\steam.exe
D:\Programme\Antivi\AVGUARD.EXE
C:\Dokumente und Einstellungen\Benutzer\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivi\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\desktop\Ich\steam\steam.exe" -silent
O4 - Startup: Trillian.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096454981640
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EBED6D9-13AF-4BDD-BFF9-D7718B5938F5}: NameServer = 192.168.0.1

Ich hoffe Ihr könnt mir helfen
Mfg Funzogger

Fixen:

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame
Dateien\CMEII\CMESys.exe"

Sofern die Datei C:\Programme\GemeinsameDateien\CMEII\CMESys.exe noch vorhanen ist - löschen.

Jo dankeschön christian
wars das dann mit dem agent.ay??

Ps: kannste auch was mit den ergebnissen vom e`scan anfangen??

Scheint nicht mehr drauf zu sein ....

Poste doch mal das Log von eScan ...

so hier haste es:

Wed Sep 29 17:09:31 2004 => Total Number of Files Scanned: 56374
Wed Sep 29 17:09:31 2004 => Total Number of Virus(es) Found: 12
Wed Sep 29 17:09:31 2004 => Total Number of Disinfected Files: 0
Wed Sep 29 17:09:31 2004 => Total Number of Files Renamed: 4
Wed Sep 29 17:09:31 2004 => Total Number of Deleted Files: 0
Wed Sep 29 17:09:31 2004 => Total Number of Errors: 1
Wed Sep 29 17:09:31 2004 => Time Elapsed: 01:06:54
Wed Sep 29 17:09:31 2004 => Virus Database Date: 2004/09/29
Wed Sep 29 17:09:31 2004 => Virus Database Count: 104569

File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{42CBA484-257E-41EF-BA78-85B14229B81F}\RP121\A0050752.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{42CBA484-257E-41EF-BA78-85B14229B81F}\RP121\A0050753.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{42CBA484-257E-41EF-BA78-85B14229B81F}\RP121\A0051840.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.

File D:\Desktop\David\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

File D:\System Volume Information\_restore{1AF78710-143E-46B9-836F-A0C045BE2817}\RP10\A0004561.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\System Volume Information\_restore{1AF78710-143E-46B9-836F-A0C045BE2817}\RP17\A0011663.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

File D:\System Volume Information\_restore{1B06416B-63A8-4482-90E9-883516742D7F}\RP18\A0001651.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\System Volume Information\_restore{42CBA484-257E-41EF-BA78-85B14229B81F}\RP121\A0049367.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.

File D:\System Volume Information\_restore{817A44C2-99A1-490B-A108-3176C018C65B}\RP64\A0247687.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

File E:\downloads\cladDVD 170MAX.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\downloads\podbot25.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

kannste damit was anfangen??
Mfg Funzogger

Laut dem Log hat eScan diesen Schädling nicht entdeckt und somit auch nicht gelöscht ....

humm entweder iser tatsächlich weg oder er kommt wieder, wie es so oft in den anderen fällen geschehen ist.....vllt liegts auch daran, dass er nit gefunden wurde, da ich am selbigem tage den virus gelöscht hab per antivir....
na, dann wolln wir mal schauen...
aber trotzdem danke für die hilfe :bussi:

Mfg Funzogger

Hallo, habe eine Frage

AntiVir fand folgendes

DIAL/301006

lebenslauf[mf-10175.de].exe (habe ich dann auf löschen gedrückt)

Gruß Edith

@ edith

Und was ist deine Frage?
Erstelle mal bitte ein Log:

http://www.trojaner-board.de/51130-a...ijackthis.html

und poste es in einen eigenen Thread, bevor das hier noch länger und konfuser wird.

Hi an alle!Ich habe mal eine Frage an euch!Kann mir einer sagen was CMESys.exe und GStore.dll genau sind und für was die sind?Hatte beim systemstart dauernd eine Fehlermeldung und da stand das drin und habe es nun über tune up in der software deaktiviert der fehler ist zwar weg aber ich würde gerne genau wissen was das für eine exe ist!Schonmal danke im Vorraus!

Hallo?! :balla: Nochmal zu meinem Posting von vorgestern:
Probiert die Anti-Trojaner-Software "a2". Der putzt alles weg.

Wer liest sich schon so ne elends Latte von nem Logfile durch! :confused:

...