Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Ebenfalls Trojaner "TR/Agent.33302"

Ebenfalls Trojaner "TR/Agent.33302"


Plagegeister aller Art und deren Bekämpfung: Ebenfalls Trojaner "TR/Agent.33302"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.06.2007, 11:18   #1
filpus
 
Ebenfalls Trojaner "TR/Agent.33302" - Standard

Ebenfalls Trojaner "TR/Agent.33302"


Hallo,
auf meinem PC hat sich ebenfalls der Trojaner TR/Agent.33302 eingemistet. Ich habe mich hier im Forum schon versucht schlau zu machen, aber irgendwie weicht mein HJT log von den anderen ab. Es sind genau die gleichen Symtome wie von USer JoFrie, der das Thema schon am 08.06.2007 ins Forum gestellt hat:

"Hallo,

ich habe mir irgendwie einen Trojaner eingefangen, den AntiVir als TR/Agent.33302 bezeichnet. Habe danach gegoogelt aber es kommt zu keinen Suchergebnissen.
Hier im Forum habe ich dann den ein oder anderen Hinweis gefunden allerdings kam auch nicht viel dabei rum, deswegen habe ich diesen Thread hier eröffnet. Hoffe ich habe da jetzt in meiner schluderigkeit nichts übersehen...

Also AntiVir spuckt mir in mehr oder weniger regelmäßig auftretenden Abständen immer einen Fund aus aus der in C:\WINDOWS\system32\xxyyvww.dll zu finden ist. Und egal ob ich die betroffene Datei in Quarantäne verschiebe oder lösche, nach einiger Zeit (1 Sekunde - 4 Minuten) erscheint diese Meldung schon wieder.

Des weiteren kommen öfters Pop-Ups im IE (obwohl Firefox Standard Browser ist) die mir dann eine Anti Virus Software oder ähnliches aufschwatzen will (habe leider nicht genau aufgepasst, nähere Infos werden beim nächsten erscheinen eines Pop Us ergänzt!)
Weiterhin ist es der Fall, dass Teilweise Downloads im Firefox blockiert werden. Sprich: wenn ich auf einen Download-Link klicke, kann ich zwar auf Datei speichern gehen aber es passiert nichts.


So, hier das HiJack-File, hoffe ich hab soweit alles richtig erklärt und es kann mir wer helfen, danke..."


Logfile of HijackThis v1.99.1
Scan saved at 12:01:06, on 11.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\ICQ\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Vista Sidebar v1.7.8\thoosje's sidebar.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\phil\Eigene Dateien\hijackthis_199\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQ\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot
O4 - Startup: thoosje's sidebar.lnk = C:\Programme\Vista Sidebar v1.7.8\thoosje's sidebar.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\DLink\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A107159E-3E7A-4735-B18A-E83165E2FD45}: NameServer = 194.97.173.125 194.97.173.124
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

---------------------------------------------------------------
PS. das ist aber schon mein Log

Ich würde mich auf jede Hilfe freuen...

DANKE ,

Gruß filpus

Alt 11.06.2007, 11:31   #2
nochdigger
 
Ebenfalls Trojaner "TR/Agent.33302" - Standard

Ebenfalls Trojaner "TR/Agent.33302"


Hallo

Mach zuerst alle versteckten Dateien und Ordner sichtbar und dann lade dir mal Vundofix

* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren.

Anschließend lade dir datFind.bat, nach dem Scan kopiere nur die letzten 30 Tage ab und poste sie.

MFG
__________________
Alt 11.06.2007, 12:36   #3
filpus
 
Ebenfalls Trojaner "TR/Agent.33302" - Standard

Ebenfalls Trojaner "TR/Agent.33302"


hallo nochmal,
ich hoffe, dass ich alles richtig gemacht habe...


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48FB-F8C8

Verzeichnis von C:\WINDOWS\system32

11.06.2007 08:10 312.946 perfh009.dat
11.06.2007 08:10 40.664 perfc009.dat
11.06.2007 08:10 318.106 perfh007.dat
11.06.2007 08:10 49.028 perfc007.dat
11.06.2007 08:10 728.270 PerfStringBackup.INI
10.06.2007 17:44 2.206 wpa.dbl
10.06.2007 15:17 18.254 ssnvfx.ini
07.06.2007 16:09 33.302 xxyyvww.dll
27.04.2007 22:45 14.970.328 MRT.exe


danke nochmal....

mfg filpus
__________________
Alt 11.06.2007, 12:42   #4
filpus
 
Ebenfalls Trojaner "TR/Agent.33302" - Standard

Ebenfalls Trojaner "TR/Agent.33302"


..... oder ist der log der richtige :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48FB-F8C8

Verzeichnis von C:\DOKUME~1\phil\LOKALE~1\Temp

11.06.2007 13:32 158.304 jusched.log
11.06.2007 13:31 289 datFind.zip
11.06.2007 13:29 16.384 ~DFD774.tmp
11.06.2007 13:29 512 ~DF616A.tmp
11.06.2007 13:29 16.384 ~DF6158.tmp
11.06.2007 13:29 32.768 ~DFA9AF.tmp
11.06.2007 13:28 42.310 LVCOMSX.LOG
11.06.2007 13:24 32.768 ~DF9F15.tmp
11.06.2007 13:12 32.768 ~DFB918.tmp
11.06.2007 11:47 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}620.html
11.06.2007 08:07 16.384 ~DFE61B.tmp
11.06.2007 08:07 16.384 ~DFDB97.tmp
11.06.2007 08:07 512 ~DFDBA9.tmp
11.06.2007 08:07 32.768 ~DF747.tmp
11.06.2007 08:06 16.384 Perflib_Perfdata_218.dat
10.06.2007 20:00 16.384 ~DF6B1C.tmp
10.06.2007 20:00 16.384 ~DF5ED8.tmp
10.06.2007 20:00 32.768 ~DF999F.tmp
10.06.2007 17:42 49.066 e4e3_appcompat.txt
10.06.2007 13:48 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}13731.html
10.06.2007 13:46 16.384 ~DFB92E.tmp
10.06.2007 13:46 16.384 ~DFAB39.tmp
10.06.2007 13:46 32.768 ~DF9FCC.tmp
09.06.2007 12:47 16.384 ~DF211B.tmp
09.06.2007 12:47 16.384 ~DF468.tmp
09.06.2007 12:46 32.768 ~DFAB36.tmp
09.06.2007 12:44 3.494 6ccd_appcompat.txt
09.06.2007 10:47 32.768 ~DF696E.tmp
09.06.2007 10:30 3.494 91e6_appcompat.txt
09.06.2007 00:35 49.066 df20_appcompat.txt
08.06.2007 23:59 28.779.008 MWAV.LOG
08.06.2007 23:59 213.867 mwXface.log
08.06.2007 00:16 49.066 a213_appcompat.txt
07.06.2007 20:46 16.384 ~DF6362.tmp
07.06.2007 20:46 16.384 ~DF45BA.tmp
07.06.2007 20:42 32.768 ~DF1469.tmp
07.06.2007 20:38 3.494 3d73_appcompat.txt
07.06.2007 20:07 16.384 ~DF621.tmp
07.06.2007 20:07 16.384 ~DFFB23.tmp
07.06.2007 20:07 32.768 ~DF1E83.tmp
07.06.2007 18:44 16.384 ~DF56F4.tmp
07.06.2007 18:44 16.384 ~DF567F.tmp
07.06.2007 18:44 16.384 ~DF56CD.tmp
07.06.2007 18:44 16.384 ~DF56A6.tmp
07.06.2007 15:37 50.288 java_install_reg.log
07.06.2007 09:15 16.384 ~DF7224.tmp
07.06.2007 09:15 16.384 ~DF675C.tmp
07.06.2007 09:14 32.768 ~DF980A.tmp
06.06.2007 22:58 49.066 ae8_appcompat.txt
06.06.2007 12:18 16.384 ~DF8B55.tmp
06.06.2007 12:18 16.384 ~DF7E0F.tmp
06.06.2007 12:18 32.768 ~DFC9AE.tmp
06.06.2007 11:36 16.384 ~DF90C9.tmp
06.06.2007 11:36 16.384 ~DF595B.tmp
06.06.2007 11:36 1.309 1E.wmz
06.06.2007 11:36 32.768 ~DF636A.tmp
06.06.2007 07:31 16.384 ~DFBDA0.tmp
06.06.2007 07:31 16.384 ~DFA9BD.tmp
06.06.2007 00:09 49.066 41e9_appcompat.txt
05.06.2007 23:27 16.384 ~DF72DA.tmp
05.06.2007 23:27 16.384 ~DF6811.tmp
05.06.2007 23:27 32.768 ~DF7E61.tmp
05.06.2007 23:16 49.066 a8aa_appcompat.txt
05.06.2007 09:20 16.384 ~DFAC87.tmp
05.06.2007 09:20 16.384 ~DF6A36.tmp
05.06.2007 09:20 32.768 ~DFC1D9.tmp
05.06.2007 05:46 49.066 41f_appcompat.txt
04.06.2007 23:59 0 fpkA3.tmp
04.06.2007 23:57 0 s08A2.tmp
04.06.2007 23:54 0 3q4A1.tmp
04.06.2007 23:02 3.072 miunst_.exe
04.06.2007 17:30 23.814.184 SkypeSetup.exe
04.06.2007 14:29 16.384 ~DFCEE1.tmp
04.06.2007 14:29 16.384 ~DFBFE7.tmp
03.06.2007 00:18 49.066 6267_appcompat.txt
03.06.2007 00:12 1.009 purpleZ3YTTT.html
01.06.2007 21:13 49.066 3602_appcompat.txt
31.05.2007 21:55 49.066 b08a_appcompat.txt
31.05.2007 17:23 305 GEARInstall.log
31.05.2007 17:22 20.956 QTInstallCode.log
31.05.2007 17:16 3.885 qtplugin.log
31.05.2007 11:00 16.384 ~DF23FD.tmp
31.05.2007 11:00 16.384 ~DF162B.tmp
30.05.2007 12:09 16.384 ~DF2E75.tmp
30.05.2007 12:09 16.384 ~DF355.tmp
29.05.2007 20:25 16.384 ~DFF4F8.tmp
29.05.2007 20:25 16.384 ~DF100A.tmp
29.05.2007 20:25 32.768 ~DFF9A.tmp
29.05.2007 08:54 16.384 ~DF305.tmp
29.05.2007 08:54 16.384 ~DFF8C1.tmp
29.05.2007 08:54 32.768 ~DFFFE4.tmp
27.05.2007 17:45 49.066 dc95_appcompat.txt
24.05.2007 20:23 49.066 dd8c_appcompat.txt
23.05.2007 22:04 49.066 a3b1_appcompat.txt
23.05.2007 11:44 444 MspLauncherErrLog.tmp
23.05.2007 11:14 26.624 deutsch20070131.doc
23.05.2007 10:49 0 os01C.tmp
23.05.2007 10:48 0 zh51B.tmp
23.05.2007 10:48 0 gsx1A.tmp
23.05.2007 10:31 59.964 Adobelm_Cleanup.0001
23.05.2007 09:18 32.768 ~DFB25B.tmp
22.05.2007 22:39 49.066 942a_appcompat.txt
22.05.2007 15:32 0 3hr1B.tmp
22.05.2007 14:32 0 ula17.tmp
22.05.2007 14:32 0 48x16.tmp
22.05.2007 14:31 0 m2915.tmp
21.05.2007 13:51 16.384 ~DF786B.tmp
21.05.2007 13:51 16.384 ~DF69B0.tmp
20.05.2007 20:17 49.066 7ae1_appcompat.txt
20.05.2007 19:09 0 CacheInfo.dnl
20.05.2007 14:37 32.768 UDFAVDP.ADHM
20.05.2007 10:04 16.384 ~DF1567.tmp
20.05.2007 10:04 16.384 ~DFFC25.tmp
20.05.2007 10:04 32.768 ~DF9290.tmp
19.05.2007 12:16 16.384 ~DFAEBE.tmp
19.05.2007 12:16 32.768 ~DF2E54.tmp
18.05.2007 22:36 49.066 c0be_appcompat.txt
16.05.2007 18:50 49.066 36ba_appcompat.txt
16.05.2007 13:05 16.384 ~DF81F8.tmp
16.05.2007 13:05 16.384 ~DF7A38.tmp
16.05.2007 13:04 32.768 ~DF1D93.tmp
15.05.2007 21:00 49.066 883c_appcompat.txt
15.05.2007 20:32 0 jar_cache19027.tmp
15.05.2007 20:32 0 jar_cache19025.tmp
15.05.2007 14:31 16.384 ~DFF2A.tmp
15.05.2007 14:31 16.384 ~DFA551.tmp
14.05.2007 22:42 49.066 b89c_appcompat.txt
14.05.2007 13:31 16.384 ~DF2339.tmp
14.05.2007 13:31 16.384 ~DFBE6.tmp
14.05.2007 13:31 32.768 ~DF1397.tmp
13.05.2007 22:00 49.066 d33c_appcompat.txt
12.05.2007 23:11 149.520 ~NP38.tmp
12.05.2007 23:11 149.520 ~NP37.tmp
12.05.2007 22:03 1.470 TWAIN.LOG
12.05.2007 22:03 4 Twain001.Mtx
12.05.2007 22:03 156 Twunk001.MTX
12.05.2007 21:56 369.152 dlg_0x6AE63F188.tmp
12.05.2007 11:19 16.384 ~DFE000.tmp
12.05.2007 11:19 16.384 ~DFC582.tmp
11.05.2007 19:40 49.066 3ff6_appcompat.txt
11.05.2007 15:15 16.384 ~DF2FDB.tmp
11.05.2007 15:15 16.384 ~DF1803.tmp
10.05.2007 21:37 49.066 5e0e_appcompat.txt

Alt 17.06.2007, 15:39   #5
nochdigger
 
Ebenfalls Trojaner "TR/Agent.33302" - Standard

Ebenfalls Trojaner "TR/Agent.33302"


Hallo

irgendwie scheinen mir in letzter Zeit öfter Leute hinten runter zu fallen

erstmal die Frage vorweg, hast du noch Probleme?

Lade dir mal die Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop
3.) starte den Rechner neu
4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, poste den Inhalt dieser Dateien
in nächsten Beitrag
(es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS,
C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp).

ein neues HijackThis log würde ich auch gern sehen, benenne aber vorher die Hijackthis.exe um in ABC.exe.

MFG


Alt 18.06.2007, 09:52   #6
filpus
 
Ebenfalls Trojaner "TR/Agent.33302" - Standard

Ebenfalls Trojaner "TR/Agent.33302"


Hallo,
die Fehlermeldung von Antivir ist heute das erste mal (noch) nicht aufgetreten. Aber der Trojaner kann doch nicht einfach so weg sein?!
Also hier der Text von filelist:

Verzeichnis von C:\

18.06.2007 10:40 43 filelist.txt
18.06.2007 10:38 805.306.368 pagefile.sys
11.06.2007 13:38 61.997 systemtemp.txt
11.06.2007 13:31 105.913 system32.txt
11.06.2007 13:26 1.220 VundoFix.txt
10.06.2007 19:16 50 23990098.$$$
22.12.2006 19:15 50 AUTOEXEC.BAT
18.04.2006 17:39 211 boot.ini
30.03.2006 19:18 183 LogiSetup.log


Verzeichnis von C:\WINDOWS

18.06.2007 10:39 159 wiadebug.log
18.06.2007 10:39 1.942.372 WindowsUpdate.log
18.06.2007 10:39 50 wiaservc.log
18.06.2007 10:39 0 0.log
18.06.2007 10:38 2.048 bootstat.dat
14.06.2007 18:38 202 NeroDigital.ini
13.06.2007 11:33 968.639 iis6.log
13.06.2007 11:33 254.523 comsetup.log
13.06.2007 11:33 42.346 ocmsn.log
13.06.2007 11:33 1.374 imsins.log
13.06.2007 11:33 19.919 KB933566.log
13.06.2007 11:33 34.338 tabletoc.log
13.06.2007 11:33 351.423 tsoc.log
13.06.2007 11:33 158.889 ntdtcsetup.log
13.06.2007 11:33 399.427 ocgen.log
13.06.2007 11:33 53.482 medctroc.Log
13.06.2007 11:33 125.786 netfxocm.log
13.06.2007 11:33 37.801 msgsocm.log
13.06.2007 11:33 780.300 FaxSetup.log
13.06.2007 11:33 256.038 msmqinst.log
13.06.2007 11:33 41.723 updspapi.log
13.06.2007 11:33 1.374 imsins.BAK
13.06.2007 11:33 11.730 KB929123.log
13.06.2007 11:32 11.034 KB935840.log
13.06.2007 11:31 10.978 KB935839.log
12.06.2007 10:41 151 PhotoSnapViewer.INI
10.06.2007 17:46 50 Lic.xxx
10.06.2007 17:45 108.630 ntbtlog.txt
04.06.2007 16:28 271.575 setupapi.log
02.06.2007 16:44 32.556 SchedLgU.Txt
24.05.2007 19:41 7.497 KB927891.log
22.05.2007 15:32 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung #4.txt
09.05.2007 14:33 10.420 KB930916.log


Verzeichnis von C:\WINDOWS\system

letztes Datum 04.08.2004


Verzeichnis von C:\WINDOWS\system32

18.06.2007 10:40 954.756 pqstv.ini2
18.06.2007 10:38 886.490 biumieij.ini
18.06.2007 10:38 2.206 wpa.dbl
18.06.2007 10:01 312.946 perfh009.dat
18.06.2007 10:01 40.664 perfc009.dat
18.06.2007 10:01 318.106 perfh007.dat
18.06.2007 10:01 49.028 perfc007.dat
18.06.2007 10:01 728.270 PerfStringBackup.INI
16.06.2007 14:11 124.436 jieimuib.dll
16.06.2007 14:11 924.828 pqstv.bak2
16.06.2007 14:10 926.596 umvhrbxc.ini
13.06.2007 13:45 18.254 ssnvfx.ini
13.06.2007 11:36 944.108 rcplpudf.ini
12.06.2007 18:40 954.543 pqstv.ini
12.06.2007 09:41 964.890 cuuomglh.ini
12.06.2007 09:26 927.520 pqstv.tmp
12.06.2007 09:04 943.868 xyyeqxoe.ini
12.06.2007 09:02 923.735 pqstv.bak1
11.06.2007 13:33 262.708 vtsqp.dll
06.06.2007 08:38 15.747.032 MRT.exe
16.05.2007 17:11 683.520 inetcomm.dll


Verzeichnis von C:\WINDOWS\Prefetch

02.06.2007 16:40 15.028 XP-ANTISPY_DE.EXE-08D6D7E1.pf
02.06.2007 16:35 89.086 ACRORD32.EXE-0EC716D9.pf
02.06.2007 16:35 51.116 ACRORD32INFO.EXE-30CEC19C.pf
02.06.2007 16:34 13.392 VERCLSID.EXE-3667BD89.pf
02.06.2007 16:30 77.936 DFRGNTFS.EXE-269967DF.pf
02.06.2007 16:30 45.554 DEFRAG.EXE-273F131E.pf
02.06.2007 16:30 610.252 Layout.ini
02.06.2007 16:26 33.590 LOGON.SCR-151EFAEA.pf
02.06.2007 16:04 83.216 FIREFOX.EXE-1D57670A.pf
02.06.2007 15:56 93.584 SOFFICE.EXE-1985499C.pf
02.06.2007 15:50 36.148 EPMWORKER.EXE-36EA6AD1.pf
02.06.2007 15:50 44.640 GENERIC.EXE-0FF6F96D.pf
02.06.2007 15:50 17.782 CONNECTIONWIZARD.EXE-36F3825D.pf
02.06.2007 15:50 29.988 SKYPEPM.EXE-03F1BFBD.pf
02.06.2007 15:50 12.218 KHALMNPR.EXE-020439BB.pf
01.06.2007 21:13 8.304 DRWTSN32.EXE-2B4B52AC.pf
01.06.2007 21:13 8.446 DWWIN.EXE-30875ADC.pf
01.06.2007 21:13 18.132 LOGONUI.EXE-0AF22957.pf
01.06.2007 19:06 50.166 AVSCAN.EXE-05AECC0E.pf
01.06.2007 16:26 24.332 SNDSTORM.EXE-0B0FA0FB.pf
01.06.2007 14:27 105.706 THUNDERBIRD.EXE-031A6371.pf
01.06.2007 14:21 35.700 PHOTOSNAP.EXE-3A45ED5C.pf
01.06.2007 14:21 30.722 PHOTOSNAPVIEWER.EXE-1689AA3B.pf
01.06.2007 14:16 24.494 SCRIPT-FU.EXE-0D77E8FB.pf
01.06.2007 14:16 89.490 GIMP-2.2.EXE-34A4E144.pf
01.06.2007 14:16 28.066 JPEG.EXE-2C4DEBB5.pf
01.06.2007 14:14 32.222 WMIPRVSE.EXE-28F301A9.pf
01.06.2007 14:14 70.292 WUAUCLT.EXE-399A8E72.pf
01.06.2007 14:13 64.464 ACROBAT.EXE-02E9AE67.pf
01.06.2007 11:01 52.934 AVNOTIFY.EXE-22AE9451.pf
01.06.2007 11:01 49.832 UPDATE.EXE-13D57D76.pf
01.06.2007 11:01 12.758 PREUPD.EXE-358AA1C1.pf
01.06.2007 10:08 29.560 WMIADAP.EXE-2DF425B2.pf
31.05.2007 19:27 32.410 HELPER.EXE-244ABC1F.pf
31.05.2007 19:26 65.800 UPDATER.EXE-0012DCE4.pf
31.05.2007 19:25 77.026 RUNDLL32.EXE-1BC55A4F.pf
31.05.2007 17:23 11.832 ITUNESHELPER.EXE-08906EB7.pf
31.05.2007 17:23 40.122 IPODSERVICE.EXE-233792DA.pf
31.05.2007 17:22 161.504 MSIEXEC.EXE-2F8A8CAE.pf
31.05.2007 17:22 92.534 ITUNES.EXE-15E88941.pf
31.05.2007 17:22 10.678 QTTASK.EXE-2D7EEF34.pf
31.05.2007 14:33 89.408 FIREFOX.EXE-17EE503B.pf
31.05.2007 11:03 25.804 AVGNT.EXE-36CA4640.pf
31.05.2007 11:03 49.562 AVGUARD.EXE-3490B18B.pf
29.05.2007 20:25 12.924 RUNDLL32.EXE-451FC2C0.pf
29.05.2007 08:54 20.106 SVCHOST.EXE-3530F672.pf
29.05.2007 08:54 9.606 BTWDINS.EXE-0D1CF9D8.pf
29.05.2007 08:54 45.646 SCHED.EXE-236A886F.pf
01.01.2002 00:50 31.332 SETPOINT.EXE-06E7AE51.pf


Verzeichnis von C:\WINDOWS\tasks

02.06.2007 16:44 6 SA.DAT
10.03.2007 13:10 276 AppleSoftwareUpdate.job


Verzeichnis von C:\WINDOWS\Temp

18.06.2007 10:39 16.384 Perflib_Perfdata_f30.dat
18.06.2007 09:59 0 Upd25.tmp
16.06.2007 14:11 0 Upd24.tmp
14.06.2007 12:47 0 Upd23.tmp
13.06.2007 12:47 0 Upd22.tmp
12.06.2007 12:47 0 Upd21.tmp
11.06.2007 13:48 0 Upd1E.tmp
10.06.2007 13:48 0 Upd1D.tmp
09.06.2007 10:38 0 Upd1.tmp
07.06.2007 12:18 0 Upd1C.tmp
06.06.2007 12:19 0 Upd1B.tmp
05.06.2007 09:20 0 Upd1A.tmp
05.06.2007 09:20 0 Upd19.tmp
01.06.2007 11:01 0 Upd18.tmp
31.05.2007 11:01 0 Upd17.tmp
29.05.2007 08:56 0 Upd16.tmp
27.05.2007 16:56 0 Upd15.tmp
24.05.2007 19:41 0 Upd14.tmp
23.05.2007 14:21 0 Upd2E.tmp
22.05.2007 13:57 0 Upd13.tmp
20.05.2007 12:18 0 Upd12.tmp
19.05.2007 12:18 0 Upd11.tmp
16.05.2007 14:32 0 Upd32.tmp
15.05.2007 14:32 0 Upd10.tmp


Verzeichnis von C:\DOKUME~1\phil\LOKALE~1\Temp

18.06.2007 10:39 32.768 ~DFCB8C.tmp
18.06.2007 10:38 16.384 Perflib_Perfdata_21c.dat
18.06.2007 10:38 1.309 1.wmz
18.06.2007 10:38 50.793 LVCOMSX.LOG
18.06.2007 10:34 3.494 6bd4_appcompat.txt
18.06.2007 10:14 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}14420.html
18.06.2007 10:13 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}11390.html
18.06.2007 10:02 159.515 jusched.log
18.06.2007 09:58 16.384 ~DFC968.tmp
18.06.2007 09:58 16.384 ~DF8881.tmp
16.06.2007 14:10 16.384 ~DF6099.tmp
16.06.2007 14:10 16.384 ~DF4224.tmp
15.06.2007 00:29 49.066 fb11_appcompat.txt
14.06.2007 15:05 0 CacheInfo.dnl
14.06.2007 12:43 16.384 ~DF642.tmp
14.06.2007 12:43 16.384 ~DFDE23.tmp
14.06.2007 12:43 32.768 ~DFEEAE.tmp
13.06.2007 22:48 49.066 c6a1_appcompat.txt
13.06.2007 11:36 16.384 ~DF384D.tmp
13.06.2007 11:36 16.384 ~DF1162.tmp
13.06.2007 11:36 32.768 ~DF888A.tmp
13.06.2007 11:33 3.494 84bc_appcompat.txt
13.06.2007 11:26 16.384 ~DF6E8B.tmp
13.06.2007 11:26 16.384 ~DF5C29.tmp
13.06.2007 11:26 32.768 ~DFBAB6.tmp
12.06.2007 21:14 1.008 purpleHTSLTT.html
12.06.2007 18:42 32.768 ~DFCD04.tmp
12.06.2007 18:40 38.148 1eab_appcompat.txt
12.06.2007 14:33 0 TempCover3
12.06.2007 09:40 32.768 ~DF359F.tmp
12.06.2007 00:19 49.066 6fc4_appcompat.txt
11.06.2007 13:29 16.384 ~DFD774.tmp
11.06.2007 13:29 16.384 ~DF6158.tmp
11.06.2007 13:29 32.768 ~DFA9AF.tmp
11.06.2007 13:24 32.768 ~DF9F15.tmp
11.06.2007 13:12 32.768 ~DFB918.tmp
11.06.2007 08:07 16.384 ~DFE61B.tmp
11.06.2007 08:07 16.384 ~DFDB97.tmp
11.06.2007 08:07 512 ~DFDBA9.tmp
11.06.2007 08:07 32.768 ~DF747.tmp
11.06.2007 08:06 16.384 Perflib_Perfdata_218.dat
10.06.2007 20:00 16.384 ~DF6B1C.tmp
10.06.2007 20:00 16.384 ~DF5ED8.tmp
10.06.2007 20:00 32.768 ~DF999F.tmp
10.06.2007 17:42 49.066 e4e3_appcompat.txt
10.06.2007 13:46 16.384 ~DFB92E.tmp
10.06.2007 13:46 16.384 ~DFAB39.tmp
10.06.2007 13:46 32.768 ~DF9FCC.tmp
09.06.2007 12:47 16.384 ~DF211B.tmp
09.06.2007 12:47 16.384 ~DF468.tmp
09.06.2007 12:46 32.768 ~DFAB36.tmp
09.06.2007 12:44 3.494 6ccd_appcompat.txt
09.06.2007 10:47 32.768 ~DF696E.tmp
09.06.2007 10:30 3.494 91e6_appcompat.txt
09.06.2007 00:35 49.066 df20_appcompat.txt
08.06.2007 23:59 28.779.008 MWAV.LOG
08.06.2007 23:59 213.867 mwXface.log
08.06.2007 00:16 49.066 a213_appcompat.txt
07.06.2007 20:46 16.384 ~DF6362.tmp
07.06.2007 20:46 16.384 ~DF45BA.tmp
07.06.2007 20:42 32.768 ~DF1469.tmp
07.06.2007 20:38 3.494 3d73_appcompat.txt
07.06.2007 20:07 16.384 ~DF621.tmp
07.06.2007 20:07 16.384 ~DFFB23.tmp
07.06.2007 20:07 32.768 ~DF1E83.tmp
07.06.2007 18:44 16.384 ~DF56F4.tmp
07.06.2007 18:44 16.384 ~DF56CD.tmp
07.06.2007 18:44 16.384 ~DF56A6.tmp
07.06.2007 18:44 16.384 ~DF567F.tmp
07.06.2007 15:37 50.288 java_install_reg.log
07.06.2007 09:15 16.384 ~DF7224.tmp
07.06.2007 09:15 16.384 ~DF675C.tmp
07.06.2007 09:14 32.768 ~DF980A.tmp
06.06.2007 22:58 49.066 ae8_appcompat.txt
06.06.2007 12:18 16.384 ~DF8B55.tmp
06.06.2007 12:18 16.384 ~DF7E0F.tmp
06.06.2007 12:18 32.768 ~DFC9AE.tmp
06.06.2007 11:36 16.384 ~DF90C9.tmp
06.06.2007 11:36 16.384 ~DF595B.tmp
06.06.2007 11:36 1.309 1E.wmz
06.06.2007 11:36 32.768 ~DF636A.tmp
06.06.2007 07:31 16.384 ~DFBDA0.tmp
06.06.2007 07:31 16.384 ~DFA9BD.tmp
06.06.2007 00:09 49.066 41e9_appcompat.txt
05.06.2007 23:27 16.384 ~DF72DA.tmp
05.06.2007 23:27 16.384 ~DF6811.tmp
05.06.2007 23:27 32.768 ~DF7E61.tmp
05.06.2007 23:16 49.066 a8aa_appcompat.txt
05.06.2007 09:20 16.384 ~DFAC87.tmp
05.06.2007 09:20 16.384 ~DF6A36.tmp
05.06.2007 09:20 32.768 ~DFC1D9.tmp
05.06.2007 05:46 49.066 41f_appcompat.txt
04.06.2007 23:59 0 fpkA3.tmp
04.06.2007 23:57 0 s08A2.tmp
04.06.2007 23:54 0 3q4A1.tmp
04.06.2007 23:02 3.072 miunst_.exe
04.06.2007 17:30 23.814.184 SkypeSetup.exe
04.06.2007 14:29 16.384 ~DFCEE1.tmp
04.06.2007 14:29 16.384 ~DFBFE7.tmp
03.06.2007 00:18 49.066 6267_appcompat.txt
03.06.2007 00:12 1.009 purpleZ3YTTT.html
01.06.2007 21:13 49.066 3602_appcompat.txt
31.05.2007 21:55 49.066 b08a_appcompat.txt
31.05.2007 17:23 305 GEARInstall.log
31.05.2007 17:22 20.956 QTInstallCode.log
31.05.2007 17:16 3.885 qtplugin.log
31.05.2007 11:00 16.384 ~DF23FD.tmp
31.05.2007 11:00 16.384 ~DF162B.tmp
30.05.2007 12:09 16.384 ~DF2E75.tmp
30.05.2007 12:09 16.384 ~DF355.tmp
29.05.2007 20:25 16.384 ~DFF4F8.tmp
29.05.2007 20:25 16.384 ~DF100A.tmp
29.05.2007 20:25 32.768 ~DFF9A.tmp
29.05.2007 08:54 16.384 ~DF305.tmp
29.05.2007 08:54 16.384 ~DFF8C1.tmp
29.05.2007 08:54 32.768 ~DFFFE4.tmp
27.05.2007 17:45 49.066 dc95_appcompat.txt
24.05.2007 20:23 49.066 dd8c_appcompat.txt
23.05.2007 22:04 49.066 a3b1_appcompat.txt
23.05.2007 11:44 444 MspLauncherErrLog.tmp
23.05.2007 11:14 26.624 deutsch20070131.doc
23.05.2007 10:49 0 os01C.tmp
23.05.2007 10:48 0 zh51B.tmp
23.05.2007 10:48 0 gsx1A.tmp
23.05.2007 10:31 59.964 Adobelm_Cleanup.0001
23.05.2007 09:18 32.768 ~DFB25B.tmp
22.05.2007 22:39 49.066 942a_appcompat.txt
22.05.2007 15:32 0 3hr1B.tmp
22.05.2007 14:32 0 ula17.tmp
22.05.2007 14:32 0 48x16.tmp
22.05.2007 14:31 0 m2915.tmp
21.05.2007 13:51 16.384 ~DF786B.tmp
21.05.2007 13:51 16.384 ~DF69B0.tmp
20.05.2007 20:17 49.066 7ae1_appcompat.txt
20.05.2007 14:37 32.768 UDFAVDP.ADHM
20.05.2007 10:04 16.384 ~DF1567.tmp
20.05.2007 10:04 16.384 ~DFFC25.tmp
20.05.2007 10:04 32.768 ~DF9290.tmp
19.05.2007 12:16 16.384 ~DFAEBE.tmp
19.05.2007 12:16 32.768 ~DF2E54.tmp
18.05.2007 22:36 49.066 c0be_appcompat.txt
16.05.2007 18:50 49.066 36ba_appcompat.txt
16.05.2007 13:05 16.384 ~DF81F8.tmp
16.05.2007 13:05 16.384 ~DF7A38.tmp
16.05.2007 13:04 32.768 ~DF1D93.tmp

Alt 18.06.2007, 09:53   #7
filpus
 
Ebenfalls Trojaner "TR/Agent.33302" - Standard

Ebenfalls Trojaner "TR/Agent.33302"


So,
und jetzt noch ein neuer HJT-log:

Logfile of HijackThis v1.99.1
Scan saved at 10:53:05, on 18.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\ICQ\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\phil\Eigene Dateien\hijackthis_199\ABC.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {814DE370-F4E5-4A8D-8324-61783DCEE69B} - C:\WINDOWS\system32\vtsqp.dll
O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\xxyyvww.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\WINDOWS\system32\eecikska.dll (file missing)
O2 - BHO: (no name) - {F830F533-D048-4BCE-8234-9EFB3E3A8B32} - C:\WINDOWS\system32\mlljg.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQ\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\jieimuib.dll",realset
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: thoosje's sidebar.lnk = C:\Programme\Vista Sidebar v1.7.8\thoosje's sidebar.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\DLink\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A107159E-3E7A-4735-B18A-E83165E2FD45}: NameServer = 194.97.173.125 194.97.173.124
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: vtsqp - C:\WINDOWS\system32\vtsqp.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: xxyyvww - xxyyvww.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\hmfadnmg.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

Alt 18.06.2007, 20:51   #8
nochdigger
 
Ebenfalls Trojaner "TR/Agent.33302" - Standard

Ebenfalls Trojaner "TR/Agent.33302"


Hallo

Lade dir Clearprog runter ClearProg und lasse es dein System bereinigen(hake an --> alles löschen) lass alles löschen,
anschließend starte bitte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :

O2 - BHO: (no name) - {814DE370-F4E5-4A8D-8324-61783DCEE69B} - C:\WINDOWS\system32\vtsqp.dll
O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\xxyyvww.dll (file missing)
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\WINDOWS\system32\eecikska.dll (file missing)
O2 - BHO: (no name) - {F830F533-D048-4BCE-8234-9EFB3E3A8B32} - C:\WINDOWS\system32\mlljg.dll (file missing)
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\jieimuib.dll",realset
O20 - Winlogon Notify: vtsqp - C:\WINDOWS\system32\vtsqp.dll
O20 - Winlogon Notify: xxyyvww - xxyyvww.dll (file missing)
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\hmfadnmg.exe (file missing)

dann auf - fix checked - klicken und HijackThis beenden.

Starte den Rechner in den abgesicherten Modus (beim start F8 drücken)
und lösche diese Dateien wenn noch vorhanden :

C:\WINDOWS\system32\vtsqp.dll
C:\WINDOWS\system32\jieimuib.dll
C:\WINDOWS\system32\pqstv.ini2
C:\WINDOWS\system32\biumieij.ini
C:\WINDOWS\system32\pqstv.bak2
C:\WINDOWS\system32\umvhrbxc.ini
C:\WINDOWS\system32\ssnvfx.ini
C:\WINDOWS\system32\rcplpudf.ini
C:\WINDOWS\system32\pqstv.ini
C:\WINDOWS\system32\cuuomglh.ini
C:\WINDOWS\system32\pqstv.tmp
C:\WINDOWS\system32\xyyeqxoe.ini
C:\WINDOWS\system32\pqstv.bak1

leere den Mülleimer und starte das System in den normalen Modus, lass Clearprog nochmal laufen.
Bitte dein Antivir Updaten und das komplette System durchsuchen lassen und dann berichte nochmal.

MFG

Alt 19.06.2007, 09:41   #9
Lord Armed
 
Ebenfalls Trojaner "TR/Agent.33302" - Standard

Ebenfalls Trojaner "TR/Agent.33302"


ich hab das genau das gleiche problem:AntiVir hat ein troyanisches Pferd namens TR/Agent.33302 gefunden und dann steht aber statt C:\WINDOWS\system32\xxyyvww.dll, C:\WINDOWS\system32\gebyaba.dll. dann hab ich nach dieser datei gesucht um sie zu löschen doch sie wird anscheinend von einem anderen benutzer bzw. programm genuzt dabei bin ich der einzige nutzer und welches programm das sein könnte weis ich nicht. also hab ich mich etwas schlau gemacht und hab das programm Combofix gestartet welches den PC 2* neu gestartet hat. dann kamen keine viren meldungen(ist das problem dann behoben?gebyaba.dll existiert noch)mehr und combofix hat folgende 2 .txt dateien ausgeworfen


log:
ComboFix 07-06-18.2
"Thomas" - 2007-06-19 9:29:53 - Service Pack 2 NTFS

Rootkit driver huy32 is present. ... attempting disinfection
Rootkit driver xpdt is present. ... attempting disinfection
huy32 ...... driver unloaded successfully.
xpdt ...... driver unloaded successfully.

(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\hgjlm.ini
C:\WINDOWS\system32\mljgh.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\msxml3a.dll
C:\WINDOWS\system32\sysdm.exe


((((((((((((((((((((((((( Files Created from 2007-05-19 to 2007-06-19 )))))))))))))))))))))))))))))))


2007-06-19 09:19 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-19 08:16 26,624 --a------ C:\WINDOWS\system32\ssmenu.dll
2007-06-19 08:16 1,308 --a------ C:\WINDOWS\system32\tsdigsgn.dat
2007-06-19 08:16 <DIR> d---s---- C:\Programmi\File comuni\Teknum Systems
2007-06-19 08:16 <DIR> d-------- C:\Programmi\HandyBits
2007-06-18 12:55 719,872 --a------ C:\WINDOWS\system32\devil.dll
2007-06-18 12:55 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll
2007-06-18 12:55 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll
2007-06-18 12:55 66,560 --a------ C:\WINDOWS\MOTA113.exe
2007-06-18 12:55 502,784 --a------ C:\WINDOWS\x2.64.exe
2007-06-18 12:55 471,552 --a------ C:\WINDOWS\system32\Smab.dll
2007-06-18 12:55 306,688 --a------ C:\WINDOWS\system32\avisynth.dll
2007-06-18 12:55 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll
2007-06-18 12:55 240,128 --a------ C:\WINDOWS\system32\x.264.exe
2007-06-18 12:55 217,073 --a------ C:\WINDOWS\meta4.exe
2007-06-18 12:54 31,744 -rahs---- C:\WINDOWS\system32\msfDX.dll
2007-06-18 12:54 163,328 -rahs---- C:\WINDOWS\system32\flvDX.dll
2007-06-18 12:54 <DIR> d-------- C:\Programmi\eRightSoft
2007-06-18 12:01 <DIR> d-------- C:\Programmi\DVDVIDEOSOFT
2007-06-18 10:34 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\AVSMedia
2007-06-18 10:33 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\AVS4YOU
2007-06-18 10:27 <DIR> d-------- C:\Programmi\File comuni\AVSMedia
2007-06-18 10:26 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2007-06-18 10:26 524,288 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-06-18 10:26 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2007-06-18 10:26 413,760 --a------ C:\WINDOWS\system32\mpg4c32.dll
2007-06-18 10:26 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2007-06-18 10:26 261,632 --a------ C:\WINDOWS\system32\mcdvd_32.dll
2007-06-18 10:26 139,264 --a------ C:\WINDOWS\system32\xvidvfw.dll
2007-06-16 22:05 <DIR> d-------- C:\Programmi\Metin2
2007-06-09 20:36 <DIR> d-------- C:\Nokia
2007-06-09 20:36 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\.Nokia
2007-06-09 20:10 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\WindowsLiveInstaller
2007-06-09 20:09 <DIR> d-------- C:\Programmi\Windows Live
2007-06-09 20:09 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\WLInstaller
2007-06-09 19:07 33,302 --a------ C:\WINDOWS\system32\gebyaba.dll
2007-06-09 19:04 <DIR> d--h----- C:\Programmi\Zero G Registry
2007-06-09 19:04 <DIR> d--h----- C:\DOCUME~1\ROBERT~1.NB-\InstallAnywhere
2007-06-06 17:55 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\Nokia Multimedia Player
2007-06-06 17:00 <DIR> d-------- C:\Programmi\Total Video Converter
2007-06-06 16:53 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\PC Suite
2007-06-06 16:45 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\Nokia
2007-06-06 16:44 <DIR> d-------- C:\Programmi\File comuni\PCSuite
2007-06-06 16:44 <DIR> d-------- C:\Programmi\File comuni\Nokia
2007-06-06 16:44 <DIR> d-------- C:\Programmi\DIFX
2007-06-06 16:43 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2007-06-06 16:43 <DIR> d-------- C:\Programmi\PC Connectivity Solution
2007-06-06 16:43 <DIR> d-------- C:\Programmi\Nokia
2007-06-06 16:38 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\Installations
2007-05-26 14:23 <DIR> d-------- C:\Programmi\Windows Live Safety Center
2007-05-21 21:04 <DIR> d-------- C:\Programmi\QuickTime
2007-05-21 19:30 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\Lingo4u
2007-05-21 19:08 <DIR> d-------- C:\Programmi\LingoPad
2007-05-21 19:02 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\Babylon
2007-05-21 19:02 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\Babylon


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-19 07:42:07 12 ----a-w C:\WINDOWS\bthservsdp.dat
2007-06-18 10:32:32 -------- d-----w C:\Programmi\MP3Gain
2007-06-18 10:17:36 -------- d-----w C:\Programmi\iTunes
2007-06-18 10:16:23 -------- d-----w C:\Programmi\iPod
2007-06-18 10:05:11 -------- d-----w C:\Programmi\Apple Software Update
2007-06-06 15:40:09 -------- d-----w C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\PC Suite
2007-06-06 14:43:03 -------- d--h--w C:\Programmi\InstallShield Installation Information
2007-06-06 14:00:00 69,988 ----a-w C:\WINDOWS\system32\perfc010.dat
2007-06-06 14:00:00 437,882 ----a-w C:\WINDOWS\system32\perfh010.dat
2007-06-06 13:56:14 -------- d-----w C:\Programmi\SlySoft
2007-06-02 17:25:36 -------- d-----w C:\Programmi\Mozilla Thunderbird
2007-05-27 05:24:22 -------- d-----w C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\LimeWire
2007-05-21 17:10:16 -------- d-----w C:\Programmi\LingoDict
2007-05-17 11:09:54 51,568 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-05-16 15:12:56 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-11 19:04:00 -------- d-----w C:\Programmi\Microsoft CAPICOM 2.1.0.2
2007-05-11 16:11:08 -------- d-----w C:\Programmi\File comuni\SWF Studio
2007-05-11 16:10:54 -------- d-----w C:\Programmi\Riva
2007-05-11 12:17:28 -------- d-----w C:\Programmi\LimeWire
2007-04-25 14:21:04 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-22 15:26:23 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-04-22 15:26:23 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-04-22 15:26:23 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2007-04-20 14:47:24 -------- d-----w C:\Programmi\Windows Journal Viewer
2007-04-18 16:14:23 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-01 15:15:00 4,212 ---ha-w C:\WINDOWS\system32\zllictbl.dat
2007-04-01 13:54:05 51,360 ----a-w C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\GDIPFONTCACHEV1.DAT
2007-03-20 09:37:46 831,048 ----a-w C:\WINDOWS\system32\WudfUpdate_01005.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D}=C:\Programmi\minicliptoolbar\minicliptoolbar.dll []
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]
{8A61098D-612B-4EF2-943D-64E920684061}=C:\WINDOWS\system32\gebyaba.dll [2007-06-09 19:07]
{9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-08-31 20:33]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programmi\google\googletoolbar3.dll [2007-01-20 00:56]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll [2007-03-31 19:16]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}=C:\Programmi\Windows Live Toolbar\msntb.dll [2006-09-27 18:45]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programmi\File comuni\Real\Update_OB\realsched.exe" [2006-05-13 19:53]
"NeroFilterCheck"="C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe" [2006-01-12 17:40]
"Google Desktop Search"="C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" [2006-10-29 19:54]
"ZoneAlarm Client"="C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2007-04-27 09:41]
"PCSuiteTrayApplication"="C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 13:20]
"iTunesHelper"="C:\Programmi\iTunes\iTunesHelper.exe" [2007-06-01 16:51]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39]
"PhonostarAgent"="C:\Programmi\phonostar\ps_agent.exe" [2006-03-07 16:06]
"PhonostarTimer"="C:\Programmi\phonostar\ps_timer.exe" [2006-03-07 16:12]
"MsnMsgr"="C:\Programmi\Windows Live\Messenger\MsnMsgr.exe" [2007-05-17 13:11]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 11:28]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-03-31 19:16]
"Update Service"="C:\PROGRA~1\FILECO~1\TEKNUM~1\update.exe" [2007-06-19 08:16]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Nokia.PCSync"=C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{8A61098D-612B-4EF2-943D-64E920684061}"="C:\WINDOWS\system32\gebyaba.dll" [2007-06-09 19:07]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyaba]
gebyaba.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^WinZip Quick Pick.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs BthServ


Contents of the 'Scheduled Tasks' folder
2007-06-04 19:05:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-06-19 07:52:13 C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-19 09:46:29
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00000001-0000-1000-8000-0002ee000002}]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001000-0000-1000-8000-00805f9b34fb}]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001115-0000-1000-8000-00805f9b34fb}]


Completion time: 2007-06-19 9:53:18 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-19 09:53

--- E O F ---
(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\hgjlm.ini
C:\WINDOWS\system32\mljgh.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\msxml3a.dll
C:\WINDOWS\system32\sysdm.exe


((((((((((((((((((((((((( Files Created from 2007-05-19 to 2007-06-19 )))))))))))))))))))))))))))))))


ComboFix-quarantined-files:
Code:
ATTFilter
2006-02-18 08:24      964096    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\sysdm.exe.vir
2007-02-27 19:36      24576    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\msxml3a.dll.vir
2007-06-09 19:12      263220    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\mljgh.dll.vir
2007-06-19 09:39      14666    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\hgjlm.ini.vir
2007-06-19 09:40      51    --a------    C:\Qoobox\Quarantine\catchme.log


Elenco del percorso delle cartelle
Numero di serie del volume: BCC0-3E89
C:\QOOBOX
\---Quarantine
    |   catchme.log
    |   
    +---C
    |   \---WINDOWS
    |       \---system32
    |               hgjlm.ini.vir
    |               mljgh.dll.vir
    |               msxml3a.dll.vir
    |               sysdm.exe.vir
    |               
    \---Registry_backups

nach dem 2. neustart lies ich also einen virenscan durchführen.
er meldete eine andere backup datei aber den selben troyaner.
diese lies sich aber löschen.
kennt jemand vieleicht ein programm mit welchem man auch dateien die in ausführung sind löschen kann und kann mir einer sagen was das dort oben(.txt
dateien) zu bedeuten haben?

ps:ich hab ein italienisches betriebs system

Alt 19.06.2007, 10:28   #10
Lord Armed
 
Ebenfalls Trojaner "TR/Agent.33302" - Standard

Ebenfalls Trojaner "TR/Agent.33302"


jetzt ist der suchlauf beendet und er hat den troyaner wieder gefunden.
folgendes ist dabei herausgekommen:

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '33' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Documents and Settings\RobertB.NB-ROBERTB\Desktop\Unbrauchbares\backups\backup-20070619-090936-455.dll
[FUND] Ist das Trojanische Pferd TR/Agent.33302
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\gebyaba.dll
[FUND] Ist das Trojanische Pferd TR/Agent.33302
[WARNUNG] Die Datei konnte nicht gelöscht werden!
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Periferica non pronta.



Ende des Suchlaufs: 2007-06-19 11:30
Benötigte Zeit: 1:30:10 min

Der Suchlauf wurde vollständig durchgeführt.

6656 Verzeichnisse wurden überprüft
294486 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
294484 Dateien ohne Befall
6835 Archive wurden durchsucht
3 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden

Antwort

Themen zu Ebenfalls Trojaner "TR/Agent.33302"
antivir, application, avg, avira, blockiert, browser, cyberlink, dsl, einstellungen, firefox, firefox blockiert, helfen, hijackthis, internet, internet explorer, mein log, monitor, mozilla, mozilla firefox, mozilla thunderbird, mp3, popup, quara, rundll, senden, software, system, trojaner, trojaner eingefangen, virus, vista, windows, windows xp


« Explorer.exe Problem - kein Rechtsklick | Trojaner problem... »


Ähnliche Themen: Ebenfalls Trojaner "TR/Agent.33302"


  1. (ebenfalls) "DHL"-Mail, mit Link und Download...
    Plagegeister aller Art und deren Bekämpfung - 18.05.2015 (5)
  2. "TR/Dldr.Agent.1169920.4 in c:\windows\temp\db22.exe" & "ADWARE\InstallCore.771128 in c:\Users\Julian\Downloads\openal-2.0.7.0.exe"
    Plagegeister aller Art und deren Bekämpfung - 26.01.2015 (9)
  3. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  4. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  5. Ebenfalls einen "Windows blockiert" Trojaner eingafangen.
    Log-Analyse und Auswertung - 29.02.2012 (11)
  6. ebenfalls "Ihr Windowssystem wurde aus Sicherheitsgründen blockiert"
    Plagegeister aller Art und deren Bekämpfung - 18.02.2012 (21)
  7. Ebenfalls "Achtung! Ihr Computer wurde gesperrt!"
    Plagegeister aller Art und deren Bekämpfung - 17.02.2012 (8)
  8. Ebenfalls Problem mit "50 Euro Virus"
    Log-Analyse und Auswertung - 14.02.2012 (11)
  9. Ebenfalls Meldung " Computer blockiert" 50 € zahlen win Xp
    Log-Analyse und Auswertung - 22.01.2012 (7)
  10. Internet Explorer öffnet sich selber mit Werbung, ein Fenster "Meldung von Website" ebenfalls
    Plagegeister aller Art und deren Bekämpfung - 24.05.2011 (3)
  11. Trojaner "TR/kazy.mekml.1" - habe nun ebenfalls ein Ostergeschenk erhalten!
    Log-Analyse und Auswertung - 27.04.2011 (3)
  12. TR/Agent.ruo im Ordner "windows/system32" in der Datei "d3stez.dll"
    Plagegeister aller Art und deren Bekämpfung - 27.03.2010 (1)
  13. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  14. Trojaner "Agent.422888" in "giljabiunis.exe" ?
    Plagegeister aller Art und deren Bekämpfung - 28.07.2009 (13)
  15. Hilfe! "Trojan.Agent" und "Rogue.Residue" auf dem Rechner.
    Plagegeister aller Art und deren Bekämpfung - 02.05.2009 (13)
  16. Trojaner "TR/Agent.33302" will mich nicht verlassen...
    Plagegeister aller Art und deren Bekämpfung - 21.12.2008 (4)
  17. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Ebenfalls Trojaner "TR/Agent.33302" - Hallo, auf meinem PC hat sich ebenfalls der Trojaner TR/Agent.33302 eingemistet. Ich habe mich hier im Forum schon versucht schlau zu machen, aber irgendwie weicht mein HJT log von den - Ebenfalls Trojaner "TR/Agent.33302"...
Archiv
Du betrachtest: Ebenfalls Trojaner "TR/Agent.33302" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129