Trojaner-Board - TR/Agent.BI

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Agent.BI (https://www.trojaner-board.de/17689-tr-agent-bi.html)

Habe ein ganz doofes Problem....seid ca ner woche habe ich nen trojaner auf meinem pc....kenn mich allerdings nich so mit diesem ganzen technischen zeug aus. Hab bereits in einem anderen beitrag darüber gelesen allerdings kein wort verstanden wie ich das problem lösen kann. Also bitte HILFE....einer muss mir das mal für ganz doofe erklären in kleinsten schritten und und und.....mein antivir lässt mich gar ned mehr in ruhe mit diesen ding.....bitte meldet euch so schnell wie möglich
ganz lieben gruß angie :heulen:

Erstelle einen Log mittels Hijackthis und poste diesen hier im Thread.

Kurzanleitung
Ausführliche Anleitung

In welcher Datei wurde der Schädling von wechem Virenprogramm gefunden?

also....ich hab das programm antivir version 6.....dieses zeigt mir immer warnungen auf und zwar :
c:/WINDOWS/SYSTEM32/PQX32.exe

Trojanisches Pferd TR/Agent.BI

ich werd das nicht los....

Logfile of HijackThis v1.99.1
Scan saved at 18:32:09, on 11.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Coolspot\Dialer Control\dc.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\javajj.exe
C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Angelina\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ycliu.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4B2B7AB1-27B5-D55B-0C12-16D5280C1A80} - C:\WINDOWS\ntqo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [msmg32.exe] C:\WINDOWS\msmg32.exe
O4 - HKLM\..\Run: [netxx.exe] C:\WINDOWS\system32\netxx.exe
O4 - HKLM\..\Run: [javajj.exe] C:\WINDOWS\system32\javajj.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCD1F495-7776-44AA-AF65-8CFA1915D600}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addbt.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\DANIEL\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

und was nun???

Lass mal folgende Dateien:

C:\WINDOWS\msmg32.exe
C:\WINDOWS\system32\netxx.exe
C:\WINDOWS\system32\javajj.exe

hier auswerten:

http://virusscan.jotti.org/de/

Teile uns das Ergebnis mit.

Datei: javajj.exe
Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

Die ersten beiden gingen nicht....kann das sein???
sorry aber ich hab echt keinen schimmer....

Dann gehe wie folgt vor:
Lade dir Escan und gehe genau nach folgender Anleitung vor:

http://www.trojaner-board.de/42731-escan-anleitung.html

Teile uns die Ergebnisse mit, dazu:

Zitat:

Zitat von Haui45

Speichere außerdem diese Dateimittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread

so...nun hab ich den escan gemacht....kann die ergebnise nicht kopieren....habe diesen ordner bases_X oder so nicht......auch die datei find habe ich auf meiner festplatte.....nur funktioniert das irgendwie nicht so richtig....
hilfe!!!

sorry hab einen schritt vergessen....muss noch in den abgesicherten modus gehen....wiederhole und meld mich gleich nochmal.... :headbang:

Ich erkläre dir das jetzt nochmal Schritt für Schritt.

Lösch mal den Ordner,inden du dir Escan entpackt hast.Lade dir dann Escan erneut runter.

http://www.mwti.net/

Nun enpackst du Escan in den Ordner:

C:\Bases_X

Dazu gibst du einfach oben genannten Pfad als Zielverzeichnis an.

Nach dem entpacken updatest du Escan wie beschrieben:

Zitat:

Um eScan zu aktualisieren, muss zunächst zum Ordner 'C:\Bases_X' navigiert und die Datei 'kavupd.exe' ausgeführt werden. Ein kleines DOS - Fenster öffnet sich, Signaturen werden erneuert und nach getaner Arbeit wird das Fenster wieder geschlossen.

Jetzt wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Führen nun Escan aus, dazu:

Zitat:

2. Um eScan zu starten, erneut zum Ordner 'C:\Bases_X' navigieren und dieses Mal die 'mwavscan.com' ausführen.

Die Einstellungen müssen wie folgt gesetzt sein
http://www.trojaner-info.de/hijacker...irus_img_2.jpg

Nach dem ersten Fund musst du mit OK bestätigen, dass es weitergeht.

Ist Escan fertig, boote neu und aktiviere die Systemwiederherstellung.

Lade dir folgende Datei runter:

http://www.media-folders.de/user/Haui/Find.bat

Wichtig: Rechtsklick auf den Link,"Ziel speichern unter" wählen und zB. folgenden Speicherort angeben:

C:\Find.bat

Zum Schluss:

Zitat:

Anschließend die Datei 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten Datei 'C:\eScan_neu.txt' posten.

Bevor ich loslege, habs verstanden :), was heißt boote????

In diesem Fall Neustart. Aber nicht in den abgesicherten Modus, sondern nach dem Scan wieder in den normalen Modus

endlich fertig :sleepy:

hier ist was du wolltest....

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 11 19:54:38 2005 => File C:\WINDOWS\ntqo.dll infected by "Trojan-Downloader.Win32.Agent.ne" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:04 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Wed May 11 19:55:04 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:06 2005 => System found infected with sw Spyware/Adware! Action taken: No Action Taken.
Wed May 11 19:55:06 2005 => File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:06 2005 => System found infected with CoolWebSearch Spyware/Adware! Action taken: No Action Taken.
Wed May 11 19:55:06 2005 => File System Found infected by "CoolWebSearch Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 19:55:06 2005 => System found infected with hsa Spyware/Adware! Action taken: No Action Taken.
Wed May 11 19:55:06 2005 => File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 11 20:00:56 2005 => File C:\WINDOWS\ATLTI.EXE.VIR infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.
Wed May 11 20:02:59 2005 => File C:\WINDOWS\System32\SDKVP.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\01717933.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\01814B21.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\3B944579.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\3B9B1971.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Wed May 11 22:27:57 2005 => File C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine\4CFC1452.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
Thu May 12 01:03:54 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.ats" Virus. Action Taken: No Action Taken.
Thu May 12 01:05:56 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu May 12 01:05:57 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\LFQTO.DLL.VIR
Thu May 12 01:05:57 2005 => File C:\Programme\AVPersonal\INFECTED\LFQTO.DLL.VIR infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
Thu May 12 01:17:05 2005 => File C:\WINDOWS\ATLTI.EXE.VIR infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.
Thu May 12 01:39:05 2005 => File C:\WINDOWS\system32\SDKVP.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
Thu May 12 01:40:43 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu May 12 01:40:43 2005 => Total Virus(es) Found: 16
Thu May 12 01:40:43 2005 => Total Errors: 7
Thu May 12 01:40:43 2005 => Time Elapsed: 05:45:42
Thu May 12 01:40:43 2005 => Total Objects Scanned: 308387
Wed May 11 19:54:02 2005 => Virus Database Date: 2005/05/11
Thu May 12 01:40:43 2005 => Virus Database Date: 2005/05/11
Thu May 12 01:41:57 2005 => Virus Database Date: 2005/05/11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

wie geht es jetzt weiter????

und nun? :( was muss ich jetzt machen.....brauch noch HIlfe!!!!!

nun krieg ich auch noch ne Warnung wo folgendes steht....:

C:/WINDOWS/SYSTEM32/YCLIU.DLL

TR/StartPa.DU.DLL1

kann mir denn keiner mehr helfen...will das jetzt endlich loswerden....:heulen:

bitte melde sich jemand bei mir....

Ging leider nicht früher:

Lade dir Killbox, Spybot,CWS Shredder und Adaware .
Update Adaware und Spybot.
Wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung.
Führe CWS Shredder Aaware und Spybot aus und lasse Probleme beheben- mit Spybot zusätzlich noch immunisieren.

Leere folgende Ordner:

C:\Dokumente und Einstellungen\Angelina\Eigene Dateien\ICQ Lite\223500461\Puntatorwart_280644665\Norton AntiVirus\Quarantine
C:\Programme\AVPersonal\INFECTED

Folgende Dateien:

C:\WINDOWS\ntqo.dll
C:\WINDOWS\ATLTI.EXE.VIR
C:\WINDOWS\System32\SDKVP.EXE.VIR
C:\WINDOWS\ATLTI.EXE.VIR
C:\WINDOWS\system32\SDKVP.EXE.VIR
C:\WINDOWS\SYSTEM32\YCLIU.DLL folgendermaßen mittels Killbox löschen:

Zitat:

Lade und öffne KillBox. Kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\system32\fltmgr.dll -> füge diesen in KillBox ein -> wähle die Option 'Delete on reboot' -> rotes X anklicken -> die zwei folgenden Fragen mit 'JA' und 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'JA' und ein Neustart deines Systems wird durchgeführt.

Wieder in den abgesicherten Modus booten, jetzt folgendes abarbeiten:

http://www.trojaner-info.de/anleitun...out_blank.html

Nachdem das System neugestartet ist in den normalen Modus booten und neuen Log erstellen.