Forum
Tipps
News
Menu-Icon

Backdoorprogramm BDS/Agent.AY und .EC

 ???

Hallo ihr!

Ich habe einen virenscan mit Antivir gemacht, wobei er dann auch o.g. Trojaner gefunden hat!
Er meinte er müsse die Datei locken und dann löschen, was erst nach Neustart geschieht.Das habe ich dann auch getan und eine Woche später war er wieder da der Virus...

Hier meine Hijackthis Log:

Logfile of HijackThis v1.98.2
Scan saved at 11:39:02, on 06.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\WinMX\WinMX.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\King\LOKALE~1\Temp\Rar$EX00.453\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for ôå: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com



Ich hoffe, ihr könnt mir helfen, den trojaner auszurotten.
Vielen Dank im Voraus!!!

Mfg

Private Santos



Antworten zu Backdoorprogramm BDS/Agent.AY und .EC:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

benutz diese seite:
http://www.hijackthis.de
und kopier da dein log file hinein und dann alle roten einträge fixen  ;)

womit denn fixen?

 ???

Mit welchem Programm kann ich die Dateien fixen?
Was heißt das genau "fixen"?

Erst fixen und dann manuell löschen mit SafeErase???


Bitte um RAT

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo, wenn du das Log gemacht hast, war dies ja ein neue Datei. Da kannst du natürlich nichts dran fixen.
Das muss schon in HijackThis selbest geschehen indem du nach dem scan die Einträge, welche beanstandet wurden (rot) mit einem Häkchen versiehst und auf 'Fix checked' gehst. Wenn mit dem Eintrag konkrete Dateien verbunden sind löscht man diese am Besten im abgesicherten Modus (F8 beim Booten drücken).

Vorsorge: (Natürlich einen Virenscanner benutzen)

1. Einen anderen Browser benützen
(Den IE nur für Windows-Update und das auch gleich benützen)

http://firebird-browser.de/

2. Spybot und Spyware-Blaster laden und jede Woche updaten.

http://spybot.safer-networking.org/index.php?lang=de&page=download
SpywareBlaster: http://www.zdnet.de/downloads/prg/3/7/en10196637-wc.html
Bei Spybot den 'erweiterten Modus' aktivieren und die Werzeuge:
BHO's, Browser-Seiten, IE-Spielereien, und Host-Datei, sowie Prozess-Liste und System Innnereien aktivieren.
Natürlich innerhalb beider Programme die Immunisierung durchführen.


3. Bei XPSp2 den Firewall benutzen (nicht abstellen)
oder einen anderen Firewall installieren.

http://download.zonelabs.com/bin/free/de/download/znalmZAAV.html

4. Bei Einwahlmodems antidialler Software installieren und sich vor einem Schadenfall informieren:

http://www.dialerschutz.de/home.php

Hallo!

Also hiermit gehts am einfachsten. Habe es eben erfolgreich hinbekommen: Siehe Text:

ZITAT:
Da gibt's ne Hilfe. Und zwar ein Scan-Programm genannt a2 (a hoch 2 / a squared 2). Das ist zwar kostenlos aber man muss sich registrieren. (am besten auf nen E-Mail-Account, wo Du Spam-Mail hinbestellst oder so wat!). Bei mir hat das Programm auf jeden Fall geholfen. Es hat ca. 1 Stunde gescannt und dabei 8 Trojaner gefunden. Daraufhin kann man das Gefundene rauslöschen!!! (Der Ordner in C:Programme/Gemeinsame Dateien kommt zwar wieder aber die gefährliche EXE-Datei bleibt aus)

Lest mal unter Folgendem Link/URL bzw. ladet das Programm unter zweitem Link/URL

http://forum.mikes-pchilfe.de/index.php?board=21;action=display;threadid=3395
http://www.mikes-pchilfe.de/goto.php?name=downloads&view=details&id=118
:ZITATENDE


« HijackThis Scan: Was muss weg ?Backdoor.Colfusion »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Trojaner
Als Trojanisches Pferd, kurz auch Trojaner, versteht man Computerprogramme, die getarnt von einer nützlichen Anwendung, ohne Wissen des Anwenders im Hintergrund Scha...

Auslagerungsdatei
Die Auslagerungsdatei, auch bekannt als virtueller Speicher, ist ein wichtiges Element im Windows-Betriebssystem. Sie dient als Erweiterung des physischen Arbeitsspeicher...

Dateiendungen
Die Dateiendung, auch Dateinamenerweiterung, Dateierweiterung oder einfach "Endung" genannt, besteht aus meistens drei oder vier Buchstaben und wird mit einem Punkt an de...