Probleme mit Backdoorprogramm "BDS/Agent.AY"

[UweU]

Hallo,
ich habe mir das Backdoorprogramm "BDS/Agent.AY" eingefangen. Mein AntiVir meldet die Dateien und lässt sie mich auch löschen, leider sind sie beim nächsten Start wieder da und bei AntiVir findet man nicht im Virenlexikon. Jetzt habe ich versucht, HijackThis 1.99.0 laufen zu lassen, das bringt mir aber die Fehlermeldung "HijackThis verursacht Fehler, bitte Programm neu starten". Ich habe keine Ahnung, was ich jetzt tun soll. Kann mir da jemand helfen? Mein Betriebsystem ist WIN 2000.
Vielen Dank
UweU

[Speedy]

hi


download hjt version 1.97.7 oder 1.98.0 bzw. 1.98.2 von hier

http://members.linzag.net/680262/HJT/1_97_7.exe
http://members.linzag.net/680262/HJT/1_98_0.exe
http://members.linzag.net/680262/HJT/1_98_2.exe

[UweU]

Hallo,
ich habe mit HijackThis 1.98.2 gescannt. Siehe Logfile unten. Kann mir da jemand weiterhelfen?

Code:

Logfile of HijackThis v1.98.2
Scan saved at 16:54:12, on 05.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\Explorer.EXE
E:\Download\Programme\HijackThis199\1_98_2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ISShell.BHO - {7D1FD2B7-1877-451F-95CD-0CAC38C104C5} - E:\Programme\InternetSammler\ISShell.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - E:\Programme\FolderBox\FolderBox.dll
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - E:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O2 - BHO: AlxTB BHO Class - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINDOWS\system32\AlxTB1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: InternetSammler-Bearbeitungsleiste - {3FE23F63-28D9-4986-A086-87D2FE07848B} - E:\Programme\InternetSammler\ISShell.dll
O3 - Toolbar: InternetSammler-Symbolleiste - {9724B1CB-4E72-41A9-953E-EBCEA61DD819} - E:\Programme\InternetSammler\ISShell.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] E:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IntelliType] "E:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [AVSCHED32] E:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Camera Detector] E:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [WebCam III SetFirst] webc3uns setfirst
O4 - HKLM\..\Run: [WebCam Autolaunch] webc3lch
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] E:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] E:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: eBay Toolbar.LNK = C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = E:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = E:\Programme\Quicken2005\billmind.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - E:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - E:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: Favorites Search - {FF925300-80E6-11D4-A15B-FFF9086C1A3C} - E:\PROGRA~1\DzSoft\FAVORI~1\FavSeek.dll
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci173.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Holztreppe.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Holztreppe.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Holztreppe.local

[Marc]

Folgendes mit Hijackthis fixen (alle IE Fenster vorher schliessen):

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: AlxTB BHO Class - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINDOWS\system32\AlxTB1.dll
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

Neustarten , neu scannen und Logfile posten.

[Speedy]

hi

ist das logfile vom abgesicherten modus, sieht so aus, wenn es denn so ist, bitte ein logfile vom normalmodus erstellen und hier posten.
aber in der zwischenzeit können wir ja beginnen

deaktiviere die systemwiederherstellung,wechsle in den abgesicherter modus von win2000 fixe mit HijackThis die nachfolgenden einträge

O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: eBay Toolbar.LNK = C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
O4 - HKLM\..\Run: [WebCam Autolaunch] webc3lch
O4 - HKLM\..\Run: [WebCam III SetFirst] webc3uns setfirst
O4 - HKLM\..\Run: [Camera Detector] E:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL
O2 - BHO: AlxTB BHO Class - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINDOWS\system32\AlxTB1.dll
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei, die frage zum neustart mit nein beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA

C:\WINDOWS\SYSTEM\blank.htm
C:\WINDOWS\Downloaded Program Files\eBayBand.dll
C:\WINDOWS\system32\AlxTB1.dll
C:\WINDOWS\system32\SHDOCVW.DLL
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

neustart und neues logfile, wenn möglich mit 1.99.0 erstellen und hier posten

[UweU]

Hallo Marc, hallo Speedy,
vielen Dank für eure Tipps. Ich habe gefixt u. gelöscht, wie ihr das empfohlen habt. Die Dateien:

C:\WINDOWS\Downloaded Program Files\eBayBand.dll
C:\WINDOWS\system32\AlxTB1.dll
C:\WINDOWS\Downloaded Program Files\eBayTBar.exe

konnte ich nicht auffinden u. deshalb auch nicht löschen.
Auch funktioniert HijackThis 1.99.0 nicht, ich bekomme immer noch die gleiche Fehlermeldung.
Hier das Logfile mit 1.98.2 aus dem normalen (nicht abgesicherten) Modus.
Gruß UweU

Code:

 Logfile of HijackThis v1.98.2
Scan saved at 18:27:21, on 07.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
E:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\hidserv.exe
E:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\mspmspsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
E:\Programme\Ahead\InCD\InCD.exe
E:\Programme\Microsoft Hardware\Keyboard\type32.exe
E:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
E:\Programme\D-Link\Air USB Utility\AirCFG.exe
E:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
E:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
E:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\internat.exe
E:\Programme\Merkzettel\Merkzettel.exe
E:\PROGRA~1\STAMPIT\BINARY\STRAY.EXE
E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
E:\Programme\InterVideo\WinDVR\WinScheduler.exe
E:\Programme\WinZip\WZQKPICK.EXE
E:\Programme\Microsoft Office\Office\1031\msoffice.exe
E:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
E:\Download\Programme\HijackThis199\1_98_2.exe

R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - E:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
F3 - REG:win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ISShell.BHO - {7D1FD2B7-1877-451F-95CD-0CAC38C104C5} - E:\Programme\InternetSammler\ISShell.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - E:\Programme\FolderBox\FolderBox.dll
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - E:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: InternetSammler-Bearbeitungsleiste - {3FE23F63-28D9-4986-A086-87D2FE07848B} - E:\Programme\InternetSammler\ISShell.dll
O3 - Toolbar: InternetSammler-Symbolleiste - {9724B1CB-4E72-41A9-953E-EBCEA61DD819} - E:\Programme\InternetSammler\ISShell.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] E:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IntelliType] "E:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [AVSCHED32] E:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] E:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] E:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [YAW starten] "E:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [Merkzettel4.0] E:\Programme\Merkzettel\Merkzettel.exe
O4 - HKCU\..\Run: [STAMPIT-Tray] E:\PROGRA~1\STAMPIT\BINARY\STRAY.EXE
O4 - Startup: Clicktionary 2.8.lnk = E:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = E:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Quicken 2005 Zahlungserinnerung.lnk = E:\Programme\Quicken2005\billmind.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alexa Web Search - http://client.alexa.com/holiday/scri...ons/search.htm
O8 - Extra context menu item: Bild mit InternetSammler &speichern - res://E:\PROGRA~1\INTERN~2\isshell.dll/#101
O8 - Extra context menu item: Bild mit InternetSammler ein&ordnen/speichern... - res://E:\PROGRA~1\INTERN~2\isshell.dll/#108
O8 - Extra context menu item: Get Alexa Data - http://client.alexa.com/holiday/scri...s/sitedata.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Link-Adresse mit InternetSammler &notieren... - res://E:\PROGRA~1\INTERN~2\isshell.dll/#110
O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/scri...ons/mailto.htm
O8 - Extra context menu item: Markierung mit InternetSammler &speichern - res://E:\PROGRA~1\INTERN~2\isshell.dll/#104
O8 - Extra context menu item: Markierung mit InternetSammler ein&ordnen/speichern... - res://E:\PROGRA~1\INTERN~2\isshell.dll/#109
O8 - Extra context menu item: See Related Links - http://client.alexa.com/holiday/scri...ns/related.htm
O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler &speichern - res://E:\PROGRA~1\INTERN~2\isshell.dll/#102
O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler ein&ordnen/speichern... - res://E:\PROGRA~1\INTERN~2\isshell.dll/#106
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/scri...ons/review.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - E:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - E:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: Favorites Search - {FF925300-80E6-11D4-A15B-FFF9086C1A3C} - E:\PROGRA~1\DzSoft\FAVORI~1\FavSeek.dll
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Holztreppe.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Holztreppe.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Holztreppe.local

[Speedy]

hi

muss mal meine standard-texte überholen, win2000 hat keine systemwiederherstelllung und du meckerst auch nicht , hast du denn den rest genau so abgearbeitet, wie es hier beschrieben wurde ?

führe einen scan mit escan (meine beschreibung) durch
lege diesen ordner c:\bases an
download von escan in diesen ordner
entpacke das *zip file mwav.zip hier in diesem ordner
wenn der pfad nicht genau so angegeben wird, funktioniert der scanner nicht!
mache ein update, indem du die datei kavupd.exe startest.
wechsle in den abgesicherten modus von windows
öffne nun den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.exe, schließe den explorer.
überprüfe die einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollte aktiviert sein, dann den button *SCAN* drücken.
wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
nun öffnest du mit dem editor, die mwav.txt und wählst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

[Speedy]

hi

There is a variant of the Coolwebsearch trojan spreading that closes several anti-spyware apps when you try to open them.
If this is happening to you, download PepiMK's CoolWWWSearch.SmartKiller removal tool first and run it. After it does its job, CWShredder and HijackThis will run properly (as well Spybot S&D, Ad-aware and several anti-spyware forums).

[Unregistriert]

Hallo habe auch Probleme mit dem BDS/Agent.AY, brauche bitte dringend Hilfe. Ich habe Windows ME und leider aber kaum Ahnung von Computern. Hier habe ich erstmal die Log-File, nachdem ich den Anweisungen aus #7 gefolgt bin:

Sun Jul 17 12:32:24 2005 => Scanning File C:\WINDOWS\Temporary Internet Files\Content.IE5\IAREFOI1\infected6xz[1].gif

Sun Jul 17 12:44:52 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Sun Jul 17 12:54:43 2005 => Total Number of Files Scanned: 28812
Sun Jul 17 12:54:43 2005 => Total Number of Virus(es) Found: 10
Sun Jul 17 12:54:43 2005 => Total Number of Disinfected Files: 0
Sun Jul 17 12:54:43 2005 => Total Number of Files Renamed: 0
Sun Jul 17 12:54:43 2005 => Total Number of Deleted Files: 0
Sun Jul 17 12:54:43 2005 => Total Number of Errors: 2
Sun Jul 17 12:54:43 2005 => Time Elapsed: 00:38:12
Sun Jul 17 12:54:43 2005 => Virus Database Date: 2005/07/17
Sun Jul 17 12:54:43 2005 => Virus Database Count: 139657

Sun Jul 17 12:54:43 2005 => Scan Completed.

Vielen Dank.

[Speedy]

hi, nett

beginne bitte einen neuen beitrag, dieser war geschlossen und im archiv!
und ein aktuelles hjt-logfile wird auch benötigt, nicht nur die escan-daten

dann sollte man die boardregeln und ankündigungen lesen, bevor man postet.
sorry, so gibt es keine antwort außer dieser