Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Leider auch TR/Agent.33302

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.06.2007, 15:57   #1
Meethi
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Hallo,

ich hab leider auch probleme mit dem Agent.33302 Ich poste mal meine Hijackthislogfile. Sollte er er nicht zu entfernen sein muss ich den rechner dann komplett plattmachen oder reicht es wenn ich die windows partition lösche?

Logfile of HijackThis v1.99.1
Scan saved at 16:42:45, on 12.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\j3291731.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Andere Programme\ICQLite\ICQLite.exe
C:\Spiele\Steam\Steam.exe
D:\Andere Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\"name"\Desktop\HijackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ««****** Internet««
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\oirpiioj.dll",realset
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Andere Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147449144390
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1177937404250
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j3291731.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe



Vielen Dank für eure hilfe.
Ich bin nicht ganz so vertraut mit Viren... verzeit mir deshalb ein paar blöde fragen

Meethi

Alt 12.06.2007, 16:21   #2
nochdigger
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Moin auch

sieht aus als hättest du dir evtl. Vundo und einen unbekannten Gast eingefangen.

Mach bitte alle versteckten Dateien und Ordner sichtbar, anschließend lasse folgende Dateien :

C:\WINDOWS\system32\oirpiioj.dll
und
C:\WINDOWS\system32\j3291731.exe

hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG
__________________


Alt 12.06.2007, 16:47   #3
Meethi
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Complete scanning result of "oirpiioj.dll", received in VirusTotal at 06.12.2007, 17:37:11 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.12.2 06.12.2007 no virus found
AntiVir 7.4.0.32 06.12.2007 no virus found
Authentium 4.93.8 06.12.2007 no virus found
Avast 4.7.997.0 06.12.2007 no virus found
AVG 7.5.0.467 06.12.2007 no virus found
BitDefender 7.2 06.12.2007 no virus found
CAT-QuickHeal 9.00 06.12.2007 no virus found
ClamAV devel-20070416 06.12.2007 no virus found
DrWeb 4.33 06.12.2007 no virus found
eSafe 7.0.15.0 06.12.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3713 06.12.2007 no virus found
Ewido 4.0 06.12.2007 no virus found
FileAdvisor 1 06.12.2007 no virus found
Fortinet 2.85.0.0 06.12.2007 no virus found
F-Prot 4.3.2.48 06.12.2007 no virus found
F-Secure 6.70.13030.0 06.12.2007 no virus found
Ikarus T3.1.1.8 06.12.2007 no virus found
Kaspersky 4.0.2.24 06.12.2007 no virus found
McAfee 5051 06.12.2007 no virus found
Microsoft 1.2503 06.12.2007 no virus found
NOD32v2 2325 06.12.2007 no virus found
Norman 5.80.02 06.12.2007 no virus found
Panda 9.0.0.4 06.12.2007 Suspicious file
Prevx1 V2 06.12.2007 no virus found
Sophos 4.18.0 06.12.2007 no virus found
Sunbelt 2.2.907.0 06.09.2007 VIPRE.Suspicious
Symantec 10 06.12.2007 no virus found
TheHacker 6.1.6.132 06.11.2007 no virus found
VBA32 3.12.0.1 06.11.2007 no virus found
VirusBuster 4.3.23:9 06.12.2007 no virus found
Webwasher-Gateway 6.0.1 06.12.2007 Virus.Win32.FileInfector.gen (suspicious)

Aditional Information
File size: 124436 bytes
MD5: 83d3bd4d755238342c90291dfceed3e6
SHA1: a93fba036ea0ca0c2d0b4c0a3444aa65c3406fd1
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.




Complete scanning result of "j3291731.exe", received in VirusTotal at 06.12.2007, 17:29:16 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.12.2 06.12.2007 no virus found
AntiVir 7.4.0.32 06.12.2007 TR/Agent.aom.3
Authentium 4.93.8 06.12.2007 no virus found
Avast 4.7.997.0 06.12.2007 no virus found
AVG 7.5.0.467 06.12.2007 no virus found
BitDefender 7.2 06.12.2007 Trojan.Small.NCV
CAT-QuickHeal 9.00 06.12.2007 Trojan.Agent.aom
ClamAV devel-20070416 06.12.2007 no virus found
DrWeb 4.33 06.12.2007 no virus found
eSafe 7.0.15.0 06.12.2007 Win32.Agent.aom
eTrust-Vet 30.7.3713 06.12.2007 no virus found
Ewido 4.0 06.12.2007 Trojan.Agent.aom
FileAdvisor 1 06.12.2007 no virus found
Fortinet 2.85.0.0 06.12.2007 W32/Agent.AOM!tr
F-Prot 4.3.2.48 06.12.2007 no virus found
F-Secure 6.70.13030.0 06.12.2007 Trojan.Win32.Agent.aom
Ikarus T3.1.1.8 06.12.2007 no virus found
Kaspersky 4.0.2.24 06.12.2007 Trojan.Win32.Agent.aom
McAfee 5050 06.11.2007 no virus found
Microsoft 1.2503 06.12.2007 no virus found
NOD32v2 2325 06.12.2007 no virus found
Norman 5.80.02 06.12.2007 no virus found
Panda 9.0.0.4 06.12.2007 no virus found
Prevx1 V2 06.12.2007 Covert.Sys.Exec
Sophos 4.18.0 06.12.2007 Troj/TinyDL-J
Sunbelt 2.2.907.0 06.09.2007 no virus found
Symantec 10 06.12.2007 no virus found
TheHacker 6.1.6.132 06.11.2007 no virus found
VBA32 3.12.0.1 06.11.2007 no virus found
VirusBuster 4.3.23:9 06.12.2007 no virus found
Webwasher-Gateway 6.0.1 06.12.2007 Trojan.Agent.aom.3

Aditional Information
File size: 8192 bytes
MD5: 9d619af73aedb3f7ae6ac95e9b298bc9
SHA1: f8f8a7b4911ec2c47d6c8af789efac53be741151
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=3333100768811
__________________

Alt 12.06.2007, 16:49   #4
Meethi
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



was ist eigentlich mit der mljggec.dll? ... antivir sagt mir immer das diese datei von einem virus befallen ist? ... zunächst ignorieren?

Alt 12.06.2007, 20:15   #5
nochdigger
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Hallo

da über beide Dateien nicht wirklich was zu finden ist, wäre mein Rat an dich dein System platt zu machen.



Wenn du das nicht möchtest, können wir ein Bereinigung mit ungewissem Ausgang versuchen.
Starte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\oirpiioj.dll",realset

O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j3291731.exe

klicke nun auf - fix checked - und beende Hijackthis.
Starte dein System in den abgesicherten Modus (beim start F8 drücken) und benenne diese Dateien um (versuch einfach ein - .vir - hinter zu hängen) :

C:\WINDOWS\system32\oirpiioj.dll

C:\WINDOWS\system32\j3291731.exe

dann verschiebe beide Dateien in einen Extraordner.


Starte dein System wieder in den normalen Modus.

Lade dir Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight).

Lade dir mal die Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop
3.) starte den Rechner neu
4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, poste den Inhalt dieser Dateien
in nächsten Beitrag
(es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS,
C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp).

MFG


Alt 13.06.2007, 09:58   #6
MyHome
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Guten Morgen.
Ist diese von dir geschriebene Abfolge auch allgemein gültig oder jetzt nur auf diesen speziellen Fall von Meethi bezogen?
Grüße

Alt 13.06.2007, 11:34   #7
Meethi
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Danke! ... ich werde aber mein System platt machen. Ich glaube ich hab den trojaner entfernt bekommen. Bin mir aber nicht sicher deshalb mach ihn lieber platt um gar kein risiko einzugehen.

Ich konnte die datei nicht im abgesichtertem modus umbenennen oder sonstiges! ... selbst KillBox konnte die datei nicht löschen. Mit Vundofix hab ich alle dateien gelöscht bekommen, bis auf jene besagte! ... Nun hab ich windows mittels einer Preinstallationscd gestartet(über abgesichertem modus konnte ich diese ja nicht löschen). Von dort aus dann die infizierte datei gelöscht. Dann im normalbetrieb mit HijackThis alle einträge gelöscht.

P.S.: Ich glaub es hat doch nicht funktioniert .... Antivir meldet sich zwar nicht mehr aber ab und zu gehen Popupfenster auf. Naja ich werd den PC platt machen... das sicherste und ist schnell erledigt....tut zwar weh aber da macht man nix. :P.

Vielen Dank an alle die mir geholfen haben!

Alt 13.06.2007, 16:42   #8
MyHome
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Würde normalerweise glaub ich auch mein System platt machen, aber vielleicht gehts ja auch ohne diesen Extra-Aufwand?

Wenn du, nochdigger, aus meinem Logfile irgendwas rauslesen kannst, dann gib Bescheid, dann werde ich so verfahren, wie du es oben gepostet hast.
Sollte doch genauso ablaufen,oder nicht (und hoffentlich auch klappen).
-----------------------

Logfile of HijackThis v1.99.1
Scan saved at 17:41:44, on 13.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\MyHome\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.rrze.uni-erlangen.de:80
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\bmkqrsro.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180338919593
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FBFD4CB-6F38-4A63-97A2-BDC7EF7D10C4}: NameServer = 131.188.3.72,131.188.3.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{1FBFD4CB-6F38-4A63-97A2-BDC7EF7D10C4}: NameServer = 131.188.3.72,131.188.3.73
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
----------------------
Grüße
MyHome

Alt 13.06.2007, 16:45   #9
MyHome
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Ach ja, bei mir heißt die Datei, die Schwierigkeiten macht: vtuutts.dll
inzwischen gabs aber auch ein, zwei andere Meldungen (
Vor allem immer, wenn ich ein Programm starte etc.

Alt 13.06.2007, 16:49   #10
nochdigger
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Hallo

@ MyHome mach zuerstmal alle versteckten Dateien und Ordner sichtbar, dann versuche es mal mit Vundofix

* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren
Anschließend neues HijackThis log ändere aber vorher die Hijackthis.exe in z.B. ABC.exe.

MFG

Alt 13.06.2007, 17:24   #11
MyHome
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Hallo
habe alles gemacht, wie du gesagt hast. Die Backups habe ich über Suchen gefunden und gelöscht.
Waren 3 .dll's
Alle versteckten Dateien wurden vorher auch sichtbar gemacht.

Was nun? den anderen Ablauf verfolgen?
Gruß
MyHome

Alt 13.06.2007, 17:26   #12
MyHome
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



irgendwie vergess ich immer was XoD

Logfile of HijackThis v1.99.1
Scan saved at 18:22:59, on 13.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\ABC.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.rrze.uni-erlangen.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3307012A-BEDC-46D3-BA95-4B8B129F174A} - C:\WINDOWS\system32\pmkjh.dll (file missing)
O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\vtuutts.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {FECC8C93-7620-4DE2-B2F9-0582509CAEAF} - C:\WINDOWS\system32\lzfxpand.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\bmkqrsro.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180338919593
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FBFD4CB-6F38-4A63-97A2-BDC7EF7D10C4}: NameServer = 131.188.3.72,131.188.3.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{1FBFD4CB-6F38-4A63-97A2-BDC7EF7D10C4}: NameServer = 131.188.3.72,131.188.3.73
O20 - Winlogon Notify: vtuutts - vtuutts.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe

Alt 13.06.2007, 17:43   #13
MyHome
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



innerhalb der letzten 15 min gabs keine erneute Viren/Trojaner-Meldung
Wars das schon?

Alt 13.06.2007, 18:24   #14
nochdigger
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Hallo

Zitat:
innerhalb der letzten 15 min gabs keine erneute Viren/Trojaner-Meldung
Wars das schon?
dein Log sagt aus, dass es das noch nicht war.

Lade dir ClearProg runter.

Starte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :
O2 - BHO: (no name) - {3307012A-BEDC-46D3-BA95-4B8B129F174A} - C:\WINDOWS\system32\pmkjh.dll (file missing)
O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\vtuutts.dll (file missing)
O2 - BHO: (no name) - {FECC8C93-7620-4DE2-B2F9-0582509CAEAF} - C:\WINDOWS\system32\lzfxpand.dll
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\bmkqrsro.dll",realset
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: vtuutts - vtuutts.dll (file missing)

klicke nun auf - fix checked - und beende Hijackthis.
Lasse ClearProg laufen hake an - alles löschen - lass alles löschen.

Starte deinen Rechner in den abgesicherten Modus (beim start F8 drücken) und lösche diese Dateien :

C:\WINDOWS\system32\lzfxpand.dll

C:\WINDOWS\system32\bmkqrsro.dll

leere den Mülleimer und starte dein System neu in den normalen Modus und berichte nochmal.

MFG

Alt 13.06.2007, 18:55   #15
MyHome
 
Leider auch TR/Agent.33302 - Standard

Leider auch TR/Agent.33302



Zitat:
Zitat von nochdigger Beitrag anzeigen
lösche diese Dateien :

C:\WINDOWS\system32\lzfxpand.dll

C:\WINDOWS\system32\bmkqrsro.dll

leere den Mülleimer und starte dein System neu
die bmkqrsro.dll habe ich gefunden und gelöscht. Jedoch gab es keine lzfxpand.dll mehr im System32 Ordner. Auch "Suchen" gab nichts.
Dafür gibts eine lzexpand.dll, wobei ich nicht weiß, was die macht.

Nochmal ein Logfile generieren, ob die Datei sich vllt. einfach unbenannt hat und dann weiter machen, oder was jetzt?

Gruß
MyHome

Antwort

Themen zu Leider auch TR/Agent.33302
adobe, antivir, avira, desktop, dll, einstellungen, entfernen, excel, explorer, firefox, firewall, frage, hijack, hotkey, internet, internet explorer, microsoft, mozilla, mozilla firefox, programme, rundll, server, software, system, windows, windows xp



Ähnliche Themen: Leider auch TR/Agent.33302


  1. wssetup leider auch ich
    Log-Analyse und Auswertung - 02.07.2013 (24)
  2. ihavenet.com Virus - leider auch bei mir!
    Plagegeister aller Art und deren Bekämpfung - 29.05.2013 (11)
  3. GVU Trojaner bin leider auch betroffen
    Log-Analyse und Auswertung - 14.08.2012 (13)
  4. TR/small.Fi, leider auch:heulen:
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (20)
  5. Leider auch BKA - Trojaner
    Plagegeister aller Art und deren Bekämpfung - 03.12.2011 (1)
  6. Leider auch der Bundeskriminalamttrojaner
    Plagegeister aller Art und deren Bekämpfung - 23.11.2011 (3)
  7. Leider auch BKA-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 27.04.2011 (2)
  8. Trojaner "TR/Agent.33302" will mich nicht verlassen...
    Plagegeister aller Art und deren Bekämpfung - 21.12.2008 (4)
  9. Noch ein TR/Agent.33302
    Plagegeister aller Art und deren Bekämpfung - 01.07.2007 (18)
  10. TR/Agent.33302
    Log-Analyse und Auswertung - 25.06.2007 (2)
  11. Hab seit längerem einen trojaner der nicht weg will(TR/Agent.33302)
    Mülltonne - 23.06.2007 (1)
  12. Und noch einer: TR/Agent.33302 Hilfe!
    Mülltonne - 20.06.2007 (0)
  13. Ebenfalls Trojaner "TR/Agent.33302"
    Plagegeister aller Art und deren Bekämpfung - 19.06.2007 (9)
  14. TR/Agent.33302 gebxvuv.dll
    Log-Analyse und Auswertung - 17.06.2007 (1)
  15. TR/Agent.33302 leider auch bei mir....
    Plagegeister aller Art und deren Bekämpfung - 13.06.2007 (3)
  16. TR/Agent.33302 - So neu ist das Thema leider nicht...
    Log-Analyse und Auswertung - 13.06.2007 (6)
  17. Auch TR/Agent.33302
    Plagegeister aller Art und deren Bekämpfung - 12.06.2007 (9)

Zum Thema Leider auch TR/Agent.33302 - Hallo, ich hab leider auch probleme mit dem Agent.33302 Ich poste mal meine Hijackthislogfile. Sollte er er nicht zu entfernen sein muss ich den rechner dann komplett plattmachen oder reicht - Leider auch TR/Agent.33302...
Archiv
Du betrachtest: Leider auch TR/Agent.33302 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.