TR/Agent.BI
 

Erstelle einen Log mittels Hijackthis und poste diesen hier im Thread.

Kurzanleitung
Ausführliche Anleitung

In welcher Datei wurde der Schädling von wechem Virenprogramm gefunden?

also....ich hab das programm antivir version 6.....dieses zeigt mir immer warnungen auf und zwar :
c:/WINDOWS/SYSTEM32/PQX32.exe

Trojanisches Pferd TR/Agent.BI

ich werd das nicht los....


Logfile of HijackThis v1.99.1
Scan saved at 18:32:09, on 11.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Coolspot\Dialer Control\dc.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\javajj.exe
C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Angelina\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4B2B7AB1-27B5-D55B-0C12-16D5280C1A80} - C:\WINDOWS\ntqo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [msmg32.exe] C:\WINDOWS\msmg32.exe
O4 - HKLM\..\Run: [netxx.exe] C:\WINDOWS\system32\netxx.exe
O4 - HKLM\..\Run: [javajj.exe] C:\WINDOWS\system32\javajj.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCD1F495-7776-44AA-AF65-8CFA1915D600}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addbt.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\DANIEL\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


und was nun???

Lass mal folgende Dateien:

C:\WINDOWS\msmg32.exe
C:\WINDOWS\system32\netxx.exe
C:\WINDOWS\system32\javajj.exe

hier auswerten:

http://virusscan.jotti.org/de/

Teile uns das Ergebnis mit.

Datei: javajj.exe
Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden


Die ersten beiden gingen nicht....kann das sein???
sorry aber ich hab echt keinen schimmer....

Dann gehe wie folgt vor:
Lade dir Escan und gehe genau nach folgender Anleitung vor:

http://www.trojaner-board.de/42731-escan-anleitung.html

Teile uns die Ergebnisse mit, dazu:

so...nun hab ich den escan gemacht....kann die ergebnise nicht kopieren....habe diesen ordner bases_X oder so nicht......auch die datei find habe ich auf meiner festplatte.....nur funktioniert das irgendwie nicht so richtig....
hilfe!!!

sorry hab einen schritt vergessen....muss noch in den abgesicherten modus gehen....wiederhole und meld mich gleich nochmal.... :headbang:

Ich erkläre dir das jetzt nochmal Schritt für Schritt.

Lösch mal den Ordner,inden du dir Escan entpackt hast.Lade dir dann Escan erneut runter.

http://www.mwti.net/

Nun enpackst du Escan in den Ordner:

C:\Bases_X

Dazu gibst du einfach oben genannten Pfad als Zielverzeichnis an.

Nach dem entpacken updatest du Escan wie beschrieben:

Jetzt wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Führen nun Escan aus, dazu:

Die Einstellungen müssen wie folgt gesetzt sein
http://www.trojaner-info.de/hijacker...irus_img_2.jpg

Nach dem ersten Fund musst du mit OK bestätigen, dass es weitergeht.

Ist Escan fertig, boote neu und aktiviere die Systemwiederherstellung.

Lade dir folgende Datei runter:

http://www.media-folders.de/user/Haui/Find.bat

Wichtig: Rechtsklick auf den Link,"Ziel speichern unter" wählen und zB. folgenden Speicherort angeben:

C:\Find.bat

Zum Schluss:

Bevor ich loslege, habs verstanden :), was heißt boote????

In diesem Fall Neustart. Aber nicht in den abgesicherten Modus, sondern nach dem Scan wieder in den normalen Modus

endlich fertig :sleepy:

hier ist was du wolltest....


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 11 19:54:38 2005 => File C:\WINDOWS\ntqo.dll infected by "Trojan-Downloader.Win32.Agent.ne" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:04 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed May 11 19:55:04 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:06 2005 => System found infected with sw Spyware/Adware! Action taken: No Action Taken.
Wed May 11 19:55:06 2005 => File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:06 2005 => System found infected with CoolWebSearch Spyware/Adware! Action taken: No Action Taken.
Wed May 11 19:55:06 2005 => File System Found infected by "CoolWebSearch Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:06 2005 => System found infected with hsa Spyware/Adware! Action taken: No Action Taken.
Wed May 11 19:55:06 2005 => File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 20:00:56 2005 => File C:\WINDOWS\ATLTI.EXE.VIR infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.
Wed May 11 20:02:59 2005 => File C:\WINDOWS\System32\SDKVP.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\01717933.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\01814B21.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\3B944579.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\3B9B1971.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\4CFC1452.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Thu May 12 01:03:54 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.ats" Virus. Action Taken: No Action Taken.
Thu May 12 01:05:56 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu May 12 01:05:57 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\LFQTO.DLL.VIR
Thu May 12 01:05:57 2005 => File C:\Programme\AVPersonal\INFECTED\LFQTO.DLL.VIR infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
Thu May 12 01:17:05 2005 => File C:\WINDOWS\ATLTI.EXE.VIR infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.
Thu May 12 01:39:05 2005 => File C:\WINDOWS\system32\SDKVP.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
Thu May 12 01:40:43 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu May 12 01:40:43 2005 => Total Virus(es) Found: 16
Thu May 12 01:40:43 2005 => Total Errors: 7
Thu May 12 01:40:43 2005 => Time Elapsed: 05:45:42
Thu May 12 01:40:43 2005 => Total Objects Scanned: 308387
Wed May 11 19:54:02 2005 => Virus Database Date: 2005/05/11
Thu May 12 01:40:43 2005 => Virus Database Date: 2005/05/11
Thu May 12 01:41:57 2005 => Virus Database Date: 2005/05/11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

wie geht es jetzt weiter????

und nun? :( was muss ich jetzt machen.....brauch noch HIlfe!!!!!

nun krieg ich auch noch ne Warnung wo folgendes steht....:

C:/WINDOWS/SYSTEM32/YCLIU.DLL

TR/StartPa.DU.DLL1

kann mir denn keiner mehr helfen...will das jetzt endlich loswerden....:heulen:

bitte melde sich jemand bei mir....

Ging leider nicht früher:

Lade dir Killbox, Spybot,CWS Shredder und Adaware .
Update Adaware und Spybot.
Wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung.
Führe CWS Shredder Aaware und Spybot aus und lasse Probleme beheben- mit Spybot zusätzlich noch immunisieren.

Leere folgende Ordner:

C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine
C:\Programme\AVPersonal\INFECTED


Folgende Dateien:

C:\WINDOWS\ntqo.dll
C:\WINDOWS\ATLTI.EXE.VIR
C:\WINDOWS\System32\SDKVP.EXE.VIR
C:\WINDOWS\ATLTI.EXE.VIR
C:\WINDOWS\system32\SDKVP.EXE.VIR
C:\WINDOWS\SYSTEM32\YCLIU.DLL folgendermaßen mittels Killbox löschen:

Wieder in den abgesicherten Modus booten, jetzt folgendes abarbeiten:

http://www.trojaner-info.de/anleitun...out_blank.html

Nachdem das System neugestartet ist in den normalen Modus booten und neuen Log erstellen.

schon ok....bin nur so verzweifelt....

kannst du mir bitte genau erklären wie ich das mit den 3 programmen mache.....is englisch und ich steig da nicht so durch.....!

diese 6 files, die du aufgelistet hast und die ich in dieses Kill Box kopieren soll, hab ich bereits gelöscht....ist das schlimm?

Das mit dem löschen war schon OK.

Einführung Spybot

Anleitung Adaware

Anletung CWShredder

Bitte nicht vergessen folgendes abzuarbeiten

http://www.trojaner-info.de/anleitun...out_blank.html

wie immer alles im abgesicherten Modus bei deaktivierter Systemwiederherstellung:

ich hab das jetzt alles gemacht, aber es hat sich nichts geändert!
Was jetzt?

Neuen Hijackthislog erstellen und hier posten.

Logfile of HijackThis v1.99.1
Scan saved at 19:12:15, on 17.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Coolspot\Dialer Control\dc.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\javajj.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Angelina\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\znefl.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {DCB7AA47-29E8-5669-EB30-7BCD8254F742} - C:\WINDOWS\ipra.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [javajj.exe] C:\WINDOWS\system32\javajj.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCD1F495-7776-44AA-AF65-8CFA1915D600}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addbt.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\DANIEL\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung ,
und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\znefl.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\znefl.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {DCB7AA47-29E8-5669-EB30-7BCD8254F742} - C:\WINDOWS\ipra.dll
O4 - HKLM\..\Run: [javajj.exe] C:\WINDOWS\system32\javajj.exe
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addbt.exe (file missing)
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\DANIEL\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)

Lösche mit Killbox:

C:\WINDOWS\system32\javajj.exe
C:\WINDOWS\ipra.dll

Führe erneut folgendes aus:

http://www.trojaner-info.de/anleitun...out_blank.html

Nachdem Neustart in den normalen Modus starten und neuen Log erstellen.

Du solltest dir mal Service Pack 2 aufspielen:

http://www.microsoft.com/downloads/d...DisplayLang=de

werd ich sofort machen....danke.
hab da noch so nen kleines problem....
immer wenn ich den Pc neu hochfahre stehen auf meinen Desktop irgendwelche Kopien zb von unp006 und und und....wenn ich die lösche sind sie beim nächsten hochladen des pcs wieder da....dann auch mal Kopie (2) von Kopie.....
es ist zum :heulen:
weißt du was das ist....?

hab ich gemacht.....was nun?

Einen neuen Log von HJT posten.

Logfile of HijackThis v1.99.1
Scan saved at 20:42:05, on 17.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Coolspot\Dialer Control\dc.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Angelina\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCD1F495-7776-44AA-AF65-8CFA1915D600}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addbt.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\DANIEL\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sieht doch immer besser aus, bis auf das Service Pack 2 noch fehlt.

Update zunächst Escan:

Jetzt wieder in den abgesicherten Modus bei deaktivierter Systemwiederherstellung wechseln.

Lösche für jeden Nutzer den Inhalt von folgenden Ordnern:

C:\Dokumente und Einstellungen\Default User\Cookies\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf

Fixe mit HJT erneut:

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addbt.exe (file missing)
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\DANIEL\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)

Lösche den Inhalt von:

C:\Bases_X\mwav.log

Führe Escan erneut aus.

Nach dem Neustart Ergebnis von Escan mitteilen und neuen HJT-Log posten.

Logfile of HijackThis v1.99.1
Scan saved at 14:01:12, on 18.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Coolspot\Dialer Control\dc.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Angelina\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCD1F495-7776-44AA-AF65-8CFA1915D600}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addbt.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\DANIEL\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ich habe diesen Ordner nicht....C:\Bases_X\mwav.log

hab jetzt auch ne problem mit meinemInternet Explorer, der will sich nicht öffnen.....ein Problem ist aufgetaucht und zwar mit _VWUPSRV.EXE.mdmp
kannst du mir helfen das zu beheben bitte.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 11 19:54:38 2005 => File C:\WINDOWS\ntqo.dll infected by "Trojan-Downloader.Win32.Agent.ne" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:04 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed May 11 19:55:04 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:06 2005 => System found infected with sw Spyware/Adware! Action taken: No Action Taken.
Wed May 11 19:55:06 2005 => File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:06 2005 => System found infected with CoolWebSearch Spyware/Adware! Action taken: No Action Taken.
Wed May 11 19:55:06 2005 => File System Found infected by "CoolWebSearch Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:06 2005 => System found infected with hsa Spyware/Adware! Action taken: No Action Taken.
Wed May 11 19:55:06 2005 => File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 20:00:56 2005 => File C:\WINDOWS\ATLTI.EXE.VIR infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.
Wed May 11 20:02:59 2005 => File C:\WINDOWS\System32\SDKVP.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\01717933.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\01814B21.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\3B944579.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\3B9B1971.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\4CFC1452.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Thu May 12 01:03:54 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.ats" Virus. Action Taken: No Action Taken.
Thu May 12 01:05:56 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu May 12 01:05:57 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\LFQTO.DLL.VIR
Thu May 12 01:05:57 2005 => File C:\Programme\AVPersonal\INFECTED\LFQTO.DLL.VIR infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
Thu May 12 01:17:05 2005 => File C:\WINDOWS\ATLTI.EXE.VIR infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.
Thu May 12 01:39:05 2005 => File C:\WINDOWS\system32\SDKVP.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
Thu May 12 01:40:43 2005 => Total Disinfected Files: 0
Tue May 17 22:07:17 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue May 17 22:07:17 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
Tue May 17 22:07:19 2005 => System found infected with sw Spyware/Adware! Action taken: No Action Taken.
Tue May 17 22:07:19 2005 => File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken.
Tue May 17 22:07:19 2005 => System found infected with CoolWebSearch Spyware/Adware! Action taken: No Action Taken.
Tue May 17 22:07:19 2005 => File System Found infected by "CoolWebSearch Spyware/Adware" Virus. Action Taken: No Action Taken.
Tue May 17 22:07:19 2005 => System found infected with hsa Spyware/Adware! Action taken: No Action Taken.
Tue May 17 22:07:19 2005 => File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 18 03:16:52 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed May 18 03:51:15 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu May 12 01:40:43 2005 => Total Virus(es) Found: 16
Wed May 18 03:51:15 2005 => Total Virus(es) Found: 4
Thu May 12 01:40:43 2005 => Total Errors: 7
Wed May 18 03:51:15 2005 => Total Errors: 9
Thu May 12 01:40:43 2005 => Time Elapsed: 05:45:42
Wed May 18 03:51:15 2005 => Time Elapsed: 05:45:58
Thu May 12 01:40:43 2005 => Total Objects Scanned: 308387
Wed May 18 03:51:15 2005 => Total Objects Scanned: 313498
Wed May 11 19:54:02 2005 => Virus Database Date: 2005/05/11
Thu May 12 01:40:43 2005 => Virus Database Date: 2005/05/11
Thu May 12 01:41:57 2005 => Virus Database Date: 2005/05/11
Tue May 17 22:04:49 2005 => Virus Database Date: 2005/05/11
Wed May 18 03:51:15 2005 => Virus Database Date: 2005/05/11
Wed May 18 06:07:24 2005 => Virus Database Date: 2005/05/11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

dieses Service Pack 2 versuche ich runterzuladen....aber das dauert eine ewigkeit....14st. ist der aktuelle stand.
das ist aber erst seid dem das mit diesem problem mit dem explorer ist....vorher gings schneller, is aber abgebrochen worden weil dieses problem auftauchte.....

HILFE :(

Versuch mal Antivir zu deinstallieren und anschliessend neu zu installieren.

@cronos und Yopie

THX fürs Mut machen! :dummguck:

Könnt ihr mir vieleicht sagen wie ich wenigstens den Trojaner "TR/Agent.BI " weg bekomme?
Damit ich in Ruhe die wichtigen Daten meines PC sichern kann!
Jedes mal beendet er alle Anwendungen und ich fange wieder von null an!

Denn dieser lässt sich nicht entfernen und kommt immer wieder nach jedem Neustart!

@ Warrant

Falscher Thread

-->hier der richtige:

http://www.trojaner-board.de/showthr...279#post143279

kannst du mir einen link geben für antiVir ich hab das net auf cd

Bitteschön:

http://www.free-av.de/

der download von Service Pack 2 hat jetzt fast die helfte und brauch noch 8 stunden....
kann ich antivir trotzdem instalieren, muss dann aber glaub ich neustart gemacht werden oder?
Was kann ich gegen diese kopien auf meinem desktop machen.....?
und das problem mit meinem explorer?

1.Also, mir ist gerade nochmal aufgefallen, dass dein Scan von Escan nicht mit aktuellen Signaturen durchgeführt wurde.
Hast du Escan vor jedem Versuch upgedatet, wenn Nein, Escan wiederholen.
Weiterhin haben die Kopien, die du auf deinem Desktop findest, den gleichen Namen, wie Update-Dateien von Escan.
Hast du tatsächlich Escan richtig installiert?
Siehe: Anleitung:

http://www.trojaner-board.de/showthread.php?t=17492

2. Dein _VWUPSRV.EXE.mdmp versuchen wir gerade durch Neuinstallation von Antivir zu beheben.

Kleiner Zusatz: Lösche bitte die Datei C:\bases_x\mwav.log bevor du einen neuen Scan durchführst.

Ja, sonst hätte die Find.bat nicht funktioniert :daumenhoc


Gruß Haui

hm....?!?
Ich hab esacan doch schonmal durchlaufen lassen und da hat doch alles funktioniert.....
ich hab diese datei nicht....die einzigen ordner die ich in Bases_X habe sind Bases_X und Download....!

Navigiere in den Ordner C:\bases_x, klicke auf Bases_X, suche jetzt die datei mwav.log.Die sollte sich dort befinden, lösche diese.
Hier befindet sich auch die KAVUPD.exe, diese ausführen.
Mit neuen Virensignaturen noch einmal scannen.
Sag mir bitte vorher noch mal den Namen der Ordner, die sich auf deinem Desktop unerwünscht zu finden sind lassen.Wenn es fortlaufende Nummern sind, musst du nicht jeden einzelnen Namen posten.

also.....das sind die datein
Kopie von unp
Kopie von virus
Kopie von ViewTcp
Kopie von worm
Kopie von WIN
und davon nochmal kopien....
ich kann sie nicht mehr zählen.....

Tja, die gehören alle zu Escan.
Jetzt frag mich aber nicht, wie die dahingekommen sind.

Dann müssen wir uns jetzt mit deinem Explorerprob auseinandersetzen.Bin gleich nochmal da.

ich hab auch keine ahnung warum die aufen desktop sind....

nun ja was kann man da denn machen, dass der sich wieder öffnet?

Ich würde dir jetzt zu folgendem Vorgehen raten:

1.SP 2 fertig runterladen lassen und installieren
2.Dir nochmal die .zip datei von Escan zu laden (noch nicht entpacken)
3.Antivir wie gesagt deinstallieren und neuinstallieren
4. In den abgesicherten Modus bei daktivierter Systemwiederherstellung wechseln.
5.Den Inhalt von C:\Bases_X löschen
6.Die Dateien, die dir auf dem Desktop nicht gefallen löschen
7.Neustart
8.Escan neu nach C:\Bases_X entpacken und dann updaten (s.Anleitung)
9.Scan im abgesicherten Modus wiederholen
10.Hijackthislog und Escanergebnisse possten
Mitteilen, was noch für Probleme vorhanden sind.

BTW: Meinste wir schaffen noch die 10 Seitengrenze hier im Thread :)

:) hehe
mal schaun....ist das eine prob weg, taucht das nächste auf....
ich werd den download jetzt zu ende laufen lassen und morgen so vorgehen wie du es vorgeschlagen hast....bin gespannt wie es dann ausschaut.

Danke das du dir soviel zeit für mich nimmst und mir hilfst.... ;)

Kein Problem aber danke kannste sagen wenn alles wieder laufen sollte.

Viel Erfolg :daumenhoc

jetzt gehts weiter...... :)

1.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu May 19 16:28:33 2005 => System found infected with sw Spyware/Adware! Action taken: No Action Taken.
Thu May 19 16:28:33 2005 => File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken.
Thu May 19 16:28:33 2005 => System found infected with CoolWebSearch Spyware/Adware! Action taken: No Action Taken.
Thu May 19 16:28:33 2005 => File System Found infected by "CoolWebSearch Spyware/Adware" Virus. Action Taken: No Action Taken.
Thu May 19 16:28:33 2005 => System found infected with hsa Spyware/Adware! Action taken: No Action Taken.
Thu May 19 16:28:33 2005 => File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken.
Thu May 19 21:45:03 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu May 19 22:30:07 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu May 19 22:30:07 2005 => Total Virus(es) Found: 3
Thu May 19 22:30:07 2005 => Total Errors: 10
Thu May 19 22:30:07 2005 => Time Elapsed: 06:16:46
Thu May 19 22:30:07 2005 => Total Objects Scanned: 321760
Thu May 19 16:12:50 2005 => Virus Database Date: 2005/05/19
Thu May 19 22:30:07 2005 => Virus Database Date: 2005/05/19
Thu May 19 22:30:15 2005 => Virus Database Date: 2005/05/19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~



2.

Logfile of HijackThis v1.99.1
Scan saved at 22:32:21, on 19.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\Angelina\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yooliety.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/ms...downloader.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addbt.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

pc ist irgendwie langsamer beim hochfahren.....

Schau mal nach, ob folgende Datei vorhanden ist:


C:\WINDOWS\addbt.exe

Dazu einfach mal den o.g. Pfad bei Jotti einfügen und auf Submit klicken:

http://virusscan.jotti.org/de/

die datei konnte nicht gefunden werden....

Sonst keine Probleme mehr?

Du könntesst jetzt nochmal aktualisierte Versionen von Adaware, Spybot und CWShredder im abgesicherten Modus bei deaktivierter Systemwiederherstellung laufen lassen.
Aber ich halte die letzten Ergebnisse von Escan für ein "false positive":

Beobachte weiter das Verhalten deines PCs; von aussen kann ich nur sagen, dass er meiner Meinung nach Clean sein sollte.Meld dich, wenn wieder ungewöhnliche Sachen auftreten.

Zur Konfiguration des PCs empfehle ich dir die 12 Punkte abzuarbeiten:

http://www.trojaner-board.de/showthread.php?t=12154

Um Mißverständnisen vorzubeugen: Du sollst nicht formatieren, du sollst einfach die 12 Punkte abarbeiten.
Bei Fragen bitte melden.

öhm....nö sonst sind mir bis jetzt keine weiteren Probleme aufgefallen....

der sp2 erkennt nur nich mein antivir!?!
und der pc ist halt voll langsam beim laden wenn ich mich auf meiner Oberfläche anmelde.
wollt dann noch wissen ob ich irgendwas von den ganzen programmen löschen kann die ich jetzt gebracucht hab.
und die datei die mir da fehlt....ist die wichtig???Brauch ich die?
die 12 punkte schau ich mir jetzt erstmal an.....
wenns fragen gibt meld ich mich natürlich ;)

hast du darauf keine antworten mehr? :)

also hab mich gerade durch den thread gekämpft :)

anti vir wird nicht vom sp2 erkannt.
das ist normal
du kannst einstellen dass ein anti viren programm installiert ist.

wenn du auf start- ausführen gehst (oder einfach windows taste + R)
gibst du msconfig ein.

dann auf regiserkarte "systemstart"

dort das häcken wegnehmen bei den programmen die du beim starten nicht brauchst.
dann auf "übernehmen", dann "schliessen" und auf "jetzt neustarten"

dann sollte es schneller gehen.

beim hochstarten kommt dann ein fenster
einfach hacken ins kästchen und auf ok

dann is alles gut :D



D.R. :daumenhoc

hey Danke :)
joa geht jetzt nen bischen schneller....

@ cronos was kann ich denn von den ganzen programmen löschen die ich mir runtergeladen hab....oder brauch ich die noch?

ich würde folgendes auf der platte haben:

dein anti vir
spybot oder adware
natürlich muss das sp2 drauf bleiben :D


eScan und Hijackthis sollten drauf bleiben im fall wenn wiedermal was nicht stimmt.
sonst muss du die ganze sache wieder downloaden :)


gruss
D.R.