|
Leider auch TR/Agent.33302 Hallo, ich hab leider auch probleme mit dem Agent.33302 Ich poste mal meine Hijackthislogfile. Sollte er er nicht zu entfernen sein muss ich den rechner dann komplett plattmachen oder reicht es wenn ich die windows partition lösche? Logfile of HijackThis v1.99.1 Scan saved at 16:42:45, on 12.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\system32\j3291731.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programme\AOL 9.0\aoltray.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe D:\Andere Programme\ICQLite\ICQLite.exe C:\Spiele\Steam\Steam.exe D:\Andere Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\"name"\Desktop\HijackThis.exe C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ««****** Internet«« O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\oirpiioj.dll",realset O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Andere Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147449144390 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1177937404250 O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j3291731.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe Vielen Dank für eure hilfe. Ich bin nicht ganz so vertraut mit Viren... verzeit mir deshalb ein paar blöde fragen ;) Meethi |
Moin auch sieht aus als hättest du dir evtl. Vundo und einen unbekannten Gast eingefangen. Mach bitte alle versteckten Dateien und Ordner sichtbar, anschließend lasse folgende Dateien : C:\WINDOWS\system32\oirpiioj.dll und C:\WINDOWS\system32\j3291731.exe hier Virustotal oder hier Jotti überprüfen (kann bisschen dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, auch wenn nichts gefunden wurde. MFG |
Complete scanning result of "oirpiioj.dll", received in VirusTotal at 06.12.2007, 17:37:11 (CET). Antivirus Version Update Result AhnLab-V3 2007.6.12.2 06.12.2007 no virus found AntiVir 7.4.0.32 06.12.2007 no virus found Authentium 4.93.8 06.12.2007 no virus found Avast 4.7.997.0 06.12.2007 no virus found AVG 7.5.0.467 06.12.2007 no virus found BitDefender 7.2 06.12.2007 no virus found CAT-QuickHeal 9.00 06.12.2007 no virus found ClamAV devel-20070416 06.12.2007 no virus found DrWeb 4.33 06.12.2007 no virus found eSafe 7.0.15.0 06.12.2007 Suspicious Trojan/Worm eTrust-Vet 30.7.3713 06.12.2007 no virus found Ewido 4.0 06.12.2007 no virus found FileAdvisor 1 06.12.2007 no virus found Fortinet 2.85.0.0 06.12.2007 no virus found F-Prot 4.3.2.48 06.12.2007 no virus found F-Secure 6.70.13030.0 06.12.2007 no virus found Ikarus T3.1.1.8 06.12.2007 no virus found Kaspersky 4.0.2.24 06.12.2007 no virus found McAfee 5051 06.12.2007 no virus found Microsoft 1.2503 06.12.2007 no virus found NOD32v2 2325 06.12.2007 no virus found Norman 5.80.02 06.12.2007 no virus found Panda 9.0.0.4 06.12.2007 Suspicious file Prevx1 V2 06.12.2007 no virus found Sophos 4.18.0 06.12.2007 no virus found Sunbelt 2.2.907.0 06.09.2007 VIPRE.Suspicious Symantec 10 06.12.2007 no virus found TheHacker 6.1.6.132 06.11.2007 no virus found VBA32 3.12.0.1 06.11.2007 no virus found VirusBuster 4.3.23:9 06.12.2007 no virus found Webwasher-Gateway 6.0.1 06.12.2007 Virus.Win32.FileInfector.gen (suspicious) Aditional Information File size: 124436 bytes MD5: 83d3bd4d755238342c90291dfceed3e6 SHA1: a93fba036ea0ca0c2d0b4c0a3444aa65c3406fd1 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. Complete scanning result of "j3291731.exe", received in VirusTotal at 06.12.2007, 17:29:16 (CET). Antivirus Version Update Result AhnLab-V3 2007.6.12.2 06.12.2007 no virus found AntiVir 7.4.0.32 06.12.2007 TR/Agent.aom.3 Authentium 4.93.8 06.12.2007 no virus found Avast 4.7.997.0 06.12.2007 no virus found AVG 7.5.0.467 06.12.2007 no virus found BitDefender 7.2 06.12.2007 Trojan.Small.NCV CAT-QuickHeal 9.00 06.12.2007 Trojan.Agent.aom ClamAV devel-20070416 06.12.2007 no virus found DrWeb 4.33 06.12.2007 no virus found eSafe 7.0.15.0 06.12.2007 Win32.Agent.aom eTrust-Vet 30.7.3713 06.12.2007 no virus found Ewido 4.0 06.12.2007 Trojan.Agent.aom FileAdvisor 1 06.12.2007 no virus found Fortinet 2.85.0.0 06.12.2007 W32/Agent.AOM!tr F-Prot 4.3.2.48 06.12.2007 no virus found F-Secure 6.70.13030.0 06.12.2007 Trojan.Win32.Agent.aom Ikarus T3.1.1.8 06.12.2007 no virus found Kaspersky 4.0.2.24 06.12.2007 Trojan.Win32.Agent.aom McAfee 5050 06.11.2007 no virus found Microsoft 1.2503 06.12.2007 no virus found NOD32v2 2325 06.12.2007 no virus found Norman 5.80.02 06.12.2007 no virus found Panda 9.0.0.4 06.12.2007 no virus found Prevx1 V2 06.12.2007 Covert.Sys.Exec Sophos 4.18.0 06.12.2007 Troj/TinyDL-J Sunbelt 2.2.907.0 06.09.2007 no virus found Symantec 10 06.12.2007 no virus found TheHacker 6.1.6.132 06.11.2007 no virus found VBA32 3.12.0.1 06.11.2007 no virus found VirusBuster 4.3.23:9 06.12.2007 no virus found Webwasher-Gateway 6.0.1 06.12.2007 Trojan.Agent.aom.3 Aditional Information File size: 8192 bytes MD5: 9d619af73aedb3f7ae6ac95e9b298bc9 SHA1: f8f8a7b4911ec2c47d6c8af789efac53be741151 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=3333100768811 |
was ist eigentlich mit der mljggec.dll? ... antivir sagt mir immer das diese datei von einem virus befallen ist? ... zunächst ignorieren? |
Hallo da über beide Dateien nicht wirklich was zu finden ist, wäre mein Rat an dich dein System platt zu machen. Wenn du das nicht möchtest, können wir ein Bereinigung mit ungewissem Ausgang versuchen. Starte Hijackthis mit der Option - do a system scan only - und hake diese Einträge an : O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\oirpiioj.dll",realset O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j3291731.exe klicke nun auf - fix checked - und beende Hijackthis. Starte dein System in den abgesicherten Modus (beim start F8 drücken) und benenne diese Dateien um (versuch einfach ein - .vir - hinter zu hängen) : C:\WINDOWS\system32\oirpiioj.dll C:\WINDOWS\system32\j3291731.exe dann verschiebe beide Dateien in einen Extraordner. Starte dein System wieder in den normalen Modus. Lade dir Blacklight und poste anschließend das Log (findest du im selben Ordner wie Blacklight). Lade dir mal die Filelist.zip 1.) Lade dir die Filelist.zip auf den Desktop 2.) entpacke die Zip-Datei auf deinen Desktop 3.) starte den Rechner neu 4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei 5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen 6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, poste den Inhalt dieser Dateien in nächsten Beitrag (es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS, C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp). MFG |
Guten Morgen. Ist diese von dir geschriebene Abfolge auch allgemein gültig oder jetzt nur auf diesen speziellen Fall von Meethi bezogen? Grüße |
Danke! ... ich werde aber mein System platt machen. Ich glaube ich hab den trojaner entfernt bekommen. Bin mir aber nicht sicher deshalb mach ihn lieber platt um gar kein risiko einzugehen. Ich konnte die datei nicht im abgesichtertem modus umbenennen oder sonstiges! ... selbst KillBox konnte die datei nicht löschen. Mit Vundofix hab ich alle dateien gelöscht bekommen, bis auf jene besagte! ... Nun hab ich windows mittels einer Preinstallationscd gestartet(über abgesichertem modus konnte ich diese ja nicht löschen). Von dort aus dann die infizierte datei gelöscht. Dann im normalbetrieb mit HiJackThis alle einträge gelöscht. P.S.: Ich glaub es hat doch nicht funktioniert .... Antivir meldet sich zwar nicht mehr aber ab und zu gehen Popupfenster auf. Naja ich werd den PC platt machen... das sicherste und ist schnell erledigt....tut zwar weh aber da macht man nix. :P. Vielen Dank an alle die mir geholfen haben! |
Würde normalerweise glaub ich auch mein System platt machen, aber vielleicht gehts ja auch ohne diesen Extra-Aufwand? Wenn du, nochdigger, aus meinem Logfile irgendwas rauslesen kannst, dann gib Bescheid, dann werde ich so verfahren, wie du es oben gepostet hast. Sollte doch genauso ablaufen,oder nicht (und hoffentlich auch klappen). ----------------------- Logfile of HijackThis v1.99.1 Scan saved at 17:41:44, on 13.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16441) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\PowerDVD\PDVDServ.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Cyberlink\Shared files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Winamp\winamp.exe C:\Programme\Miranda IM\miranda32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\MyHome\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.rrze.uni-erlangen.de:80 O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\bmkqrsro.dll",realset O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180338919593 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1FBFD4CB-6F38-4A63-97A2-BDC7EF7D10C4}: NameServer = 131.188.3.72,131.188.3.73 O17 - HKLM\System\CS1\Services\Tcpip\..\{1FBFD4CB-6F38-4A63-97A2-BDC7EF7D10C4}: NameServer = 131.188.3.72,131.188.3.73 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe ---------------------- Grüße MyHome |
Ach ja, bei mir heißt die Datei, die Schwierigkeiten macht: vtuutts.dll inzwischen gabs aber auch ein, zwei andere Meldungen :o( Vor allem immer, wenn ich ein Programm starte etc. |
Hallo @ MyHome mach zuerstmal alle versteckten Dateien und Ordner sichtbar, dann versuche es mal mit Vundofix * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. C:\VundoFix Backups - löschen + Papierkorb leeren Anschließend neues Hijackthis log ändere aber vorher die Hijackthis.exe in z.B. ABC.exe. MFG |
Hallo habe alles gemacht, wie du gesagt hast. Die Backups habe ich über Suchen gefunden und gelöscht. Waren 3 .dll's Alle versteckten Dateien wurden vorher auch sichtbar gemacht. Was nun? den anderen Ablauf verfolgen? Gruß MyHome |
irgendwie vergess ich immer was XoD Logfile of HijackThis v1.99.1 Scan saved at 18:22:59, on 13.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16441) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\PowerDVD\PDVDServ.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Cyberlink\Shared files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe D:\ABC.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.rrze.uni-erlangen.de:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3307012A-BEDC-46D3-BA95-4B8B129F174A} - C:\WINDOWS\system32\pmkjh.dll (file missing) O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\vtuutts.dll (file missing) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {FECC8C93-7620-4DE2-B2F9-0582509CAEAF} - C:\WINDOWS\system32\lzfxpand.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\bmkqrsro.dll",realset O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180338919593 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1FBFD4CB-6F38-4A63-97A2-BDC7EF7D10C4}: NameServer = 131.188.3.72,131.188.3.73 O17 - HKLM\System\CS1\Services\Tcpip\..\{1FBFD4CB-6F38-4A63-97A2-BDC7EF7D10C4}: NameServer = 131.188.3.72,131.188.3.73 O20 - Winlogon Notify: vtuutts - vtuutts.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe |
innerhalb der letzten 15 min gabs keine erneute Viren/Trojaner-Meldung :Boogie: Wars das schon? :confused: |
Hallo Zitat:
Lade dir ClearProg runter. Starte Hijackthis mit der Option - do a system scan only - und hake diese Einträge an : O2 - BHO: (no name) - {3307012A-BEDC-46D3-BA95-4B8B129F174A} - C:\WINDOWS\system32\pmkjh.dll (file missing) O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\vtuutts.dll (file missing) O2 - BHO: (no name) - {FECC8C93-7620-4DE2-B2F9-0582509CAEAF} - C:\WINDOWS\system32\lzfxpand.dll O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\bmkqrsro.dll",realset O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O20 - Winlogon Notify: vtuutts - vtuutts.dll (file missing) klicke nun auf - fix checked - und beende Hijackthis. Lasse ClearProg laufen hake an - alles löschen - lass alles löschen. Starte deinen Rechner in den abgesicherten Modus (beim start F8 drücken) und lösche diese Dateien : C:\WINDOWS\system32\lzfxpand.dll C:\WINDOWS\system32\bmkqrsro.dll leere den Mülleimer und starte dein System neu in den normalen Modus und berichte nochmal. MFG |
Zitat:
Dafür gibts eine lzexpand.dll, wobei ich nicht weiß, was die macht. Nochmal ein Logfile generieren, ob die Datei sich vllt. einfach unbenannt hat und dann weiter machen, oder was jetzt? Gruß MyHome |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:58 Uhr. |
Copyright ©2000-2024, Trojaner-Board