Moin moin

Ich hab seit zwei Tagen probleme mit TR/Agent.BI und krieg den nicht weg. Antivir meldet sich immer wenn ich den IE oder ein neues IE Fenster aufmach oder den Arbeitsplatz bzw. irgendeinen Ordner.
Hab Spybot mal durchlaufen lassen und 22 Probleme gefunden die ich dann auch behoben hab.
Aber das Ursprungsproblem ist immernoch.
Antivir meldet sich immer genau zwei mal, zuerst mit "TR/StartPa.DU.DLL.1" dann mit "TR/Agent.BI".

hijackthis logfile
--------------------------
Logfile of HijackThis v1.99.1
Scan saved at 08:51:06, on 08.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\OOCC2000\ooccsvc.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\addsm32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Simon la Croix\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {93818BC9-D266-1EB9-EDFE-1C682654EE66} - C:\WINDOWS\atllu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [netqd32.exe] C:\WINDOWS\netqd32.exe
O4 - HKLM\..\Run: [addsm32.exe] C:\WINDOWS\addsm32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1072988325156
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4B2E52F-9652-4744-A6CE-0D20E963D8CC}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: O&O CleverCache 2000 (OOCleverCache) - O&O Software GmbH - C:\Programme\OOCC2000\ooccsvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

---------------------------------

Hoffe mal irgendjemand hat da Rat.

@Simon la Croix
dein Log sieht übel aus. Bitte die Datei C:\WINDOWS\addsm32.exe bei http://virusscan.jotti.org/ checken, Ergebnis hier posten.

Ich bin mir nich sicher aber ich schätze das is auch nich gut:

------------------------

File: addsm32.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 4c0fd09363d6f104828492feb285406b
Packers detected:
PE-CRYPT.SUE, UPX

Scanner results
AntiVir
Found DR/Agent.BQ.2
Avast
Found Win32:Trojano-1218
AVG Antivirus
Found Downloader.Agent.12.D
BitDefender
Found Trojan.Downloader.Agent.BQ
ClamAV
Found Trojan.Downloader.Agent-117
Dr.Web
Found Trojan.Click.342
F-Prot Antivirus
Found W32/Downloader.AUH
Fortinet
Found W32/Agent.BQ-tr
Kaspersky Anti-Virus
Found Trojan-Downloader.Win32.Agent.bq
mks_vir
Found Trojan.Downloader.Agent.Bq
NOD32
Found Win32/TrojanDownloader.Agent.BQ
Norman Virus Control
Found W32/Agent.CPE
VBA32
Found Trojan-Downloader.Win32.Agent.bq

@Simon la Croix

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

C:\WINDOWS\addsm32.exe
C:\WINDOWS\atllu.dll
C:\WINDOWS\netqd32.exe
C:\WINDOWS\web\related.htm

Dateien im abgesicherten Modus löschen.

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gwumk.dll/sp.html#55135
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {93818BC9-D266-1EB9-EDFE-1C682654EE66} - C:\WINDOWS\atllu.dll
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [netqd32.exe] C:\WINDOWS\netqd32.exe
O4 - HKLM\..\Run: [addsm32.exe] C:\WINDOWS\addsm32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Diese bitte fixen.

Zitat:

O4 - HKLM\..\Run: [adiras] adiras.exe

Wenn du diese Anwendung nicht kennst, auch fixen.

Jo hat alles super geklappt, tausend dank.

Hallo Community,

ich stehe vor dem gleichen Problem, wie Simon. Inzwischen habe ich diverse Programme heruntergeladen und versucht, den Trojaner zu entfernen, doch leider ohne Erfolg. Nun bin ich erst mal auf den Firefox-Browser umgestiegen, um den Trojaner nicht ständig zu aktivieren.

Einen Teil der Anleitung von Rene-gad habe ich auch befolgt. Ich habe zunächst die Systemwiederherstellung deaktiviert und dann meinen Comp. im abgesicherten Modus gebootet, um dann einige Einträge zu entfernen. Jedoch befürchte ich, dass dies noch nicht die Lösung für mein Problem war, da ich die eigentliche(n) Trojaner-Datei noch nicht erkannt/entfernt habe.

Anbei mein Logfile, das ich vorhin erstellte, nachdem ich meinen Comp. wieder *normal* bootete.


+++++++++++++++++++++++++++++++++++++++++++

Logfile of HijackThis v1.99.1
Scan saved at 00:43:13, on 13.05.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.51 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATWTUSB.EXE
C:\WINDOWS\SYSTEM\MSMPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\TBLMOUSE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\LAUNCHER\CTLAUNCHER.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\TELEDAT\IWATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\E-COLOR\TRUE INTERNET COLOR\TICICON.EXE
C:\PROGRAMME\USB SHARING\USBSHARE.EXE
C:\PROGRAMME\INCREDIMAIL\BIN\IMAPP.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\LAUNCHER\TASKGUIDE\UPDTRAY.EXE
C:\WINDOWS\SYSTEM\atwtexe.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
G:\INSTALL\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=www-proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Creative Launcher] C:\PROGRAMME\CREATIVE\SBLIVE\LAUNCHER\CTLAUNCHER.EXE
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\MsOffice\Office\OSA9.EXE
O4 - Startup: True Internet Color Icon.lnk = C:\Program Files\E-Color\True Internet Color\TICIcon.exe
O4 - Startup: USB Sharing.lnk = C:\Programme\USB Sharing\usbshare.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe

+++++++++++++++++++++++++++++++++++++++++++

Für eure Hilfe wäre ich sehr dankbar.


NiceTalk

@NiceTalk

Zitat:

ich stehe vor dem gleichen Problem, wie Simon.

Wenn du das gleiche Problem, hast, benutze bitte die gleiche Lösung wie Simon la Croix: es ist nicht notwendig, in einen beendeten Thread zu posten.
Wenn du dein Problem somit nicht lösen kannst , mach bitte einen neuen Thread auf.
Bitte lese Board-FAQ noch mal.

Hallo Rene-gad,

wie ich schon schrieb, konnte ich einen Teil deiner Lösung umsetzen, jedoch nicht alles, weil ich z.B. die Datei addsm32.exe nicht in meinem Windows-Verzeichnis habe.

Wie du es aber schon vorgeschlagen hast, werde ich einen eigenen Thread eröffnen und noch mal um Hilfe bitten.

Danke für deinen Hinweis.


NiceTalk