Hi Leute,

aus Eurem Forum habe ich schon enorm viel gelernt in der letzten Woche. Schon mal vielen Dank für die nützlichen Tipps die ich als Laie hieraus erhalten konnte.

Aber nun zu meinem Problem:

Angefangen hat alles mit Hinweisen von AntiVir zu den Trojanern "Agent.Bi" und "StartPA.Du.DLL.1". Hab mich dann auf die Suche gemacht und die verschiedenen Tipps die ich hier rauslesen konntebefolgt (neues Windows-UpDate, Neues AntiVir-Update, Software Spybot, HiJackThis runtergeladen...).

Mein AntiVir hat nun nach allen Anstrengungen nur noch einen Fehler gefunden, den die Software eigentlich beim Neustart lösen wollte. Ebenfalls konnte ich meine Anzahl von Spybot Ergebnissen von 29 auf 6 reduzieren. Diese werden lt. Spybot auch jedes mal gelöst; jedoch bei der nächsten Suche gleich wieder gefunden.

Mein Optimismus hat sich dann ganz gelegt als mir heute mein Rechner schon 3 mal mit dem Hinweis "... es wurde ein Problem festgestellt... evtl. verursacht durch CAPI20.SYS" abgestürtzt ist. Als dann auch noch der WIN-Hinweis "Your Computer might be at risk, - your Virus Protection status is bad, - spyware Activity Detected" auftauschte war ich nun ganz am Boden.

Aus diesem Grund meine große Bitte um Eure Hilfe. Was kann bzw. soll ich machen?

Hier schon mal mein letztes (schon "bereinigtes") HiJackThis-Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 22:49:26, on 11.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Sicherheit\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Dokumente und Einstellungen\Joseppe\Desktop\Sicherheit\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe
C:\PROGRA~1\SICHER~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\adddr.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Dokumente und Einstellungen\Joseppe\Desktop\Sicherheit\AVGNT.EXE
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
C:\WINDOWS\sysqy.exe
C:\Dokumente und Einstellungen\Joseppe\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {6FCAF567-3DE8-8E0A-AE66-85CFEC2FA8D2} - C:\WINDOWS\sdkog.dll
O2 - BHO: Class - {D4BBFCAF-3F30-7E69-4762-58A3BA736796} - C:\WINDOWS\iely32.dll
O2 - BHO: Class - {F8B9848E-DD4B-7336-C734-7E561B0875DB} - C:\WINDOWS\system32\crsi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\SICHER~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [adddr.exe] C:\WINDOWS\adddr.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Dokumente und Einstellungen\Joseppe\Desktop\Sicherheit\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\\MAIN.MHT!hddp://super-gals.com//index//in//index.chm::/ad.exe
O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - hddp://ww.innova-webplaner.de/innova...m.7.0.0.12.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sysqy.exe
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\Sicherheit\0190 Warner\w0svc.exe
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\\aolserv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Dokumente und Einstellungen\Joseppe\Desktop\Sicherheit\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Steht da was Schlimmes drin? Kann man das lösen?
Bitte um Eure Hilfe.

Gruß Joseppe

Hi,

dein System schaut schon ziemlich mitgenommen aus.

Zitat:

Hier schon mal mein letztes (schon "bereinigtes") HiJackThis-Protokoll:

Was hast du denn schon mit HijackThis entfernt? Am besten für uns ist ein unbearbeitetes Log.

Beende mal die folgenden Prozesse mit HijackThis (misc tools section-> open process manager) und überprüfe die Dateien dann online auf http://virusscan.jotti.org/de. Poste das Ergebnis.

Zitat:

C:\WINDOWS\adddr.exe
C:\WINDOWS\sysqy.exe

Hi Haui,

Was hast du denn schon mit HijackThis entfernt? Am besten für uns ist ein unbearbeitetes Log.

Mit HijackThis habe ich direkt nichts entfernt; ich meinte, dass durch die Löschung der verschiedenen Viren/Trojaner über Antivir & Spybot sich das Protokoll reduziert haben müsste.

Beende mal die folgenden Prozesse mit HijackThis (misc tools section-> open process manager) und überprüfe die Dateien dann online auf http://virusscan.jotti.org/de. Poste das Ergebnis.[/QUOTE]

Leider verstehe ich nicht was du mit "beende mal die folgenden Prozesse mit HijackThis meinst? Sorry; bin absoluter Neuling im Land der Viren.

Gruß Joseppe

HjT starten-> Open the Misc Tools section-> Open process manager-> Prozess auswählen-> Kill process-> Ja

Ok; nun hats geklappt:

Das Ergebnis Nr.1 lautet:

Service load:
0% 100%
File: adddr.exe
Status: INFECTED/MALWARE
MD5 e180ff6e4c730acd2a62d906967341eb
Packers detected:
PE_PATCH.SUE, PE-CRYPT.SUE, UPX
Scanner results
AntiVir Found Trojan/Dldr.Agent.BQ.30
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found Downloader.Agent.ZG
BitDefender Found Trojan.Downloader.Agent.BQ
ClamAV Found nothing
Dr.Web Found Trojan.DownLoader.3312
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.bq
NOD32 Found Win32/TrojanDownloader.Agent.BQ
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found Trojan-Downloader.Win32.Agent.bq

Das Ergebnis Nr.2 lautet:
File: sysqy.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 7eec7bf62c6ddb9227cbd50629759a80
Packers detected:
PE-CRYPT.SQR, UPX
Scanner results
AntiVir Found Trojan/Agent.BI
ArcaVir Found Trojan.Agent.Bi
Avast Found Win32:Trojano-1079
AVG Antivirus Found BackDoor.Agent.8.K
BitDefender Found Trojan.Agent.BI
ClamAV Found Trojan.Agent-40
Dr.Web Found BackDoor.Netag
F-Prot Antivirus Found W32/Agent.MD
Fortinet Found W32/Agent.MD-tr
Kaspersky Anti-Virus Found Trojan.Win32.Agent.bi
NOD32 Found Win32/Agent.NAB
Norman Virus Control Found W32/Agent.BZZ
UNA Found nothing
VBA32 Found Trojan.Win32.Agent.bi

Ich persönlich würde das System komplett plattmachen und neu aufsetzen.

Ansonsten kannst du auch eine Bereinigung versuchen, wobei du dir aber nicht vollkommen sicher sein kannst, ob sie erfolgreich war!

Entpacke HijackThis in einen eigenen Ordner.

Lade eScan und führe die unter Download, entpacken und aktualisieren von eScan: beschriebenen Schritte durch. Speichere die pdf-Anleitung am besten auch gleich mit ab. Lade Killbox auch noch mit herunter.

Starte den PC im abgesicherten Modus.

Fixe mit HijackThis

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wbopt.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {6FCAF567-3DE8-8E0A-AE66-85CFEC2FA8D2} - C:\WINDOWS\sdkog.dll
O2 - BHO: Class - {D4BBFCAF-3F30-7E69-4762-58A3BA736796} - C:\WINDOWS\iely32.dll
O2 - BHO: Class - {F8B9848E-DD4B-7336-C734-7E561B0875DB} - C:\WINDOWS\system32\crsi.dll

O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [adddr.exe] C:\WINDOWS\adddr.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\\MAIN.MHT!hddp://super-gals.com//index//in//index.chm::/ad.exe
O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - hddp://ww.innova-webplaner.de/innov...um.7.0.0.12.cab

Start-> Ausführen-> "services.msc" mit [Enter] bestätigen-> Suche den Dienst "Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I)" heraus-> Rechtsklick-> Starttyp auf "Deaktiviert" stellen.

Lösche manuell, z.B. mit Killbox:
C:\WINDOWS\system32\wbopt.dll
C:\WINDOWS\web\related.htm
C:\WINDOWS\adddr.exe
c:\programme\180solutions
C:\WINDOWS\system32\crsi.dll
C:\WINDOWS\iely32.dll
C:\WINDOWS\sdkog.dll
C:\WINDOWS\sysqy.exe

Scanne mit eScan und lösche die gefundenen Dateien manuell.

Starte HijackThis erneut und wechsle in die misc tools section-> wähle "Delete a NT service aus" und kopiere "Workstation NetLogon Service" ohne die Anführungszeichen hinein-> OK

Neustart.

Lade den Process-Explorer herunter und entpacke die Dateien (z.B. nach C:\Programme\Process Explorer\). Starte die "procexp.exe". "View"-> select columns -> alles außer "Process Name" und "Command Line" deaktivieren.
File-> Save as...-> Abspeichern und die Datei hier posten.

Außerdem ein neues HjT-Log und die Virus-Log-Information von eScan posten.