BDS/Agent.AY _ hat sich festgesetzt

von **Kaschi** am 02.01.2005, 20:48

Hallo,
habe auch diesen Virus und versuche nun ihn loszuwerden. Eure bisherigen Beiträge helfen dabei schon weiter, aber bei der Auswertung der hijackthis.log_Datei bin ich mir nicht so sicher. Könntet Ihr da mal einen Blick drauf werfen und weitere Schritte empfehlen?
Logfile of HijackThis v1.99.0
Scan saved at 19:25:02, on 02.01.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\RVS_CE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\MK9885.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\A4TECH\MOUSE\AMOUMAIN.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\DATE MANAGER\DATEMANAGER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE
F1 - win.ini: load=ptsnoop.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.comundo.de"); (C:\Programme\Comundo\Netscape\Users\Comundo\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [CHotKey] mk9885.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [RVS-CE] C:\WINDOWS\SYSTEM\RVS_CE.EXE /SRVEXEC
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Installer\{00000407-78E1-11D2-B60F-006097C998E7}\misc.exe
O4 - Startup: Ereigniserinnerung.lnk = C:\Programme\Broderbund\PrintMaster\PMREMIND.EXE
O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll
O4 - Startup: PrecisionTime.lnk = C:\PROGRA~1\PrecisionTime\PrecisionTime.exe
O4 - Startup: Date Manager.lnk = C:\PROGRA~1\Date Manager\DateManager.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = rz.tu-bs.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: SearchList = rz.tu-bs.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 134.169.9.107,134.169.10.20

Vielen Dank,
Kaschi

von **Nikita** am 03.01.2005, 00:54

Hallo@Kaschi

Win98
versuch mal mit der Startdiskette ins dos zu kommen.Dann auf C:\ wechseln,
cd windows eingeben,
edit win.ini,
und schon kannst du die ini bearbeiten.

Bringen Sie Win.ini in den Vordergrund. Suchen Sie im Abschnitt [windows] nach einer Zeile, die mit "Run=" beginnt und löschen Sie alle Verweise auf die von Ihnen gelöschten Dateien. Löschen Sie nur diese Verweise, keinen anderen Text.

win.ini: load= loeschen -->ptsnoop.exe

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F1 - win.ini: load=ptsnoop.exe (falls es noch da ist)-->Troj/Ptsnoop
O4 - HKLM\..\Run: [CHotKey] mk9885.exe --> ??????
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup -->W32/Ticton-A
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll
O4 - Startup: PrecisionTime.lnk = C:\PROGRA~1\PrecisionTime\PrecisionTime.exe
O4 - Startup: Date Manager.lnk = C:\PROGRA~1\Date Manager\DateManager.exe

PC neustarten

Lade die Killbox:
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot
<Unregister .dll before deleting.”
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

kopiere rein:
C:\WINDOWS\PTSNOOP.EXE
C:\PROGRA~1\Date Manager\DateManager.exe
C:\WINDOWS\SYSTEM\wucrtupd.exe
C:\Programme\Gemeinsame Dateien\CMEll\CMEllAPl.dll
C:\Programme\Gemeinsame Dateien\CMEll\CMESys.exe
C:\Programme\Gemeinsame Dateien\CMEll\GAppMgr.dll
C:\Programme\Gemeinsame Dateien\CMEll\GController.dll
C:\Programme\Gemeinsame Dateien\CMEll\GDwldEng.dll
C:\Programme\Gemeinsame Dateien\CMEll\Glocl.dll
C:\Programme\Gemeinsame Dateien\CMEll\GloclClient.dll
C:\Programme\Gemeinsame Dateien\CMEll\GMTProxy.dll
C:\Programme\Gemeinsame Dateien\CMEll\GObjs.dll
C:\Programme\Gemeinsame Dateien\CMEll\GStore.dll
C:\Programme\Gemeinsame Dateien\CMEll\GStoreServer.dll
C:\Programme\Gemeinsame Dateien\CMEll\Gtools.dll

C:\Windows\lssice_info.txt

C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil
C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe
C:\Programme\Gemeinsame Dateien\GMT.exe

PC neustarten

suche und loesche, was du findest:

downloadme.exe
LEEME.exe
ley lssi.pdf.exe
ley.txt.exe
os.txt.exe
resumen.txt.exe
Rg2catdb.exe
texto de la lssice.txt.exe
texto.txt.exe
mcyt.es.exe
putalssi.es.exe
senado.lssice.es.exe

Loesche:
C:\PROGRA~1\Date Manager

loeschen temporaere Dateien (nicht die Ordner selbst loeschen)
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterpr ... ll_pre.php

#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken. (poste mir, was als Infected angezeigt wird)

MRU-Clear XP 1.2
Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien und ausgeführten Funktionen. Diese Einstellungen werden nicht in einer extra Datei, sondern in der Registrierdatenbank abgelegt. Auf diese MRU-Einträge der einzelnen USER kann aber auch ein anderer Benutzer über die Registry zugreifen und so feststellen, was der Anwender denn so als letztes auf seinem Rechner gemacht hat.
Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen.
http://www.ok-s.de/download/download.html

#Ad-aware SE Personal 1.05 Updated -->poste mir bitte das Log vom Scann
http://fileforum.betanews.com/detail/965718306/1
---------------------------------------------------------------------------------------------------------
dann poste das neue Log vom HijackThis

****
http://www.sophos.de/virusinfo/analyses/w32tictona.html
http://www.sophos.de/virusinfo/analyses ... snoop.html

BDS/Agent.AY _ hat sich festgesetzt

BDS/Agent.AY _ hat sich festgesetzt

Ähnliche Themen

Wer ist online?