BDS/Agent.AY & Hijackthis-Log (Deshojo)

Hallo Leute,

ich habe schon einige Threads zu dem Thema durchgeblättert. Hab den Widerling vorhin entfernt, dachte damit wärs das. Als ich dann aber gelesen hatte dass der öfters mal wieder kommt bin ich auf Nummer sicher gegangen und hab das übliche Prozedere nachgemacht. Hier ist meine Hijackthis.log, wäre sehr dankbar wenn sie einer der Experten durchsehen könnte:

Logfile of HijackThis v1.98.2
Scan saved at 19:30:53, on 23.09.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\shico.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ICQ\ICQ.exe
C:\Programme\DV Series\Console\Watch.exe
C:\Programme\CPUCooL\CPUCooL.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ISS\BlackICE\blackd.exe
C:\Programme\ISS\BlackICE\BlackICE.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\mIRC\mirc32.exe
C:\Programme\Opera\Opera.exe
D:\Eigene Dateien\toolz\Hijackthis\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gamestar.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [shico] C:\WINNT\shico.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Desktop Architect] "C:\Programme\Desktop Architect\datray.exe" -S
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Program Files\ICQ\ICQ.exe -minimize
O4 - Startup: CPUCooL.lnk = C:\Programme\CPUCooL\CPUCooL.exe
O4 - Startup: NetTime.lnk = D:\Eigene Dateien\toolz\Nettime\nt22.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlackICE Utility.lnk = C:\Programme\ISS\BlackICE\blackice.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programme\DV Series\Console\Watch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.EXE
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.EXE
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\foo.mhtml!http://mitglied.lycos.de/funpixx/EXE.CHM::/exe.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab

Liebe Grüße,
Deshojo

Antworten zu BDS/Agent.AY & Hijackthis-Log:

Nighty
Gast

Re: BDS/Agent.AY & Hijackthis-Log

« Antwort #1 am: 23.09.04, 20:06:44 »

Hier Escan runterladen->updaten wie beschrieben
Nach dem Updaten mit Kavupd.exe befinden sich die neuen Signaturen entwder in c:\downloads oder im Temp-Verzeichnis des jeweiligen Users:

Beispiel:
x:\Dokumente und Einstellungen\_Username_\Lokale Einstellungen\Temp\Kav Updater update Files

(x: = Laufwerksbuchstabe wo das Betriebsystem installiert ist, _Username_ = Profilname des jeweiligen Users)

Die Files müssen dann aus dem Ordner wo die neuen Signaturen liegen nach c:\bases kopiert werden.

Danach Offline gehn->Systemwiederherstellung deaktivieren(ME/XP)

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten(siehe Systemwiederherstellung deaktivieren) -> Escan starten (doppelklick mwavscan.com in c:\bases) -> Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).

Danach ganz normal booten und wenns immernoch so ist ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren.

Und irgendwann mal SP4 aufspülen + Windows-Updates

Und dann am besten den Browser wechseln zb Firefox, weil die meisten Hijacker/Downloader über IE-Sicherheitslücken aufs System kommen.

Wennst Escan schon laufen lassen hast muste noch folgendes fixen + Datei löschen:

O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\foo.mhtml!http://mitglied.lycos.de/funpixx/EXE.CHM::/exe.exe

Gruß

Moderator informieren

Deshojo
Gast

Re: BDS/Agent.AY & Hijackthis-Log

« Antwort #2 am: 24.09.04, 12:02:44 »

Hi Nighty,

danke für die Antwort, werd ich genauso mal machen!

Schönes Wochenende euch!

Moderator informieren

BDS/Agent.AY & Hijackthis-Log

Antworten zu BDS/Agent.AY & Hijackthis-Log:

Re: BDS/Agent.AY & Hijackthis-Log

Mehr zu BDS/Agent.AY & Hijackthis-Log