|
Plagegeister aller Art und deren Bekämpfung: Ebenfalls Trojaner "TR/Agent.33302"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.06.2007, 11:18 | #1 |
| Ebenfalls Trojaner "TR/Agent.33302" Hallo, auf meinem PC hat sich ebenfalls der Trojaner TR/Agent.33302 eingemistet. Ich habe mich hier im Forum schon versucht schlau zu machen, aber irgendwie weicht mein HJT log von den anderen ab. Es sind genau die gleichen Symtome wie von USer JoFrie, der das Thema schon am 08.06.2007 ins Forum gestellt hat: "Hallo, ich habe mir irgendwie einen Trojaner eingefangen, den AntiVir als TR/Agent.33302 bezeichnet. Habe danach gegoogelt aber es kommt zu keinen Suchergebnissen. Hier im Forum habe ich dann den ein oder anderen Hinweis gefunden allerdings kam auch nicht viel dabei rum, deswegen habe ich diesen Thread hier eröffnet. Hoffe ich habe da jetzt in meiner schluderigkeit nichts übersehen... Also AntiVir spuckt mir in mehr oder weniger regelmäßig auftretenden Abständen immer einen Fund aus aus der in C:\WINDOWS\system32\xxyyvww.dll zu finden ist. Und egal ob ich die betroffene Datei in Quarantäne verschiebe oder lösche, nach einiger Zeit (1 Sekunde - 4 Minuten) erscheint diese Meldung schon wieder. Des weiteren kommen öfters Pop-Ups im IE (obwohl Firefox Standard Browser ist) die mir dann eine Anti Virus Software oder ähnliches aufschwatzen will (habe leider nicht genau aufgepasst, nähere Infos werden beim nächsten erscheinen eines Pop Us ergänzt!) Weiterhin ist es der Fall, dass Teilweise Downloads im Firefox blockiert werden. Sprich: wenn ich auf einen Download-Link klicke, kann ich zwar auf Datei speichern gehen aber es passiert nichts. So, hier das HiJack-File, hoffe ich hab soweit alles richtig erklärt und es kann mir wer helfen, danke..." Logfile of HijackThis v1.99.1 Scan saved at 12:01:06, on 11.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\ICQ\ICQLite.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Vista Sidebar v1.7.8\thoosje's sidebar.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\FRNDSL\FRNDSL.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Dokumente und Einstellungen\phil\Eigene Dateien\hijackthis_199\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQ\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot O4 - Startup: thoosje's sidebar.lnk = C:\Programme\Vista Sidebar v1.7.8\thoosje's sidebar.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.75\MediaManager\grab.html O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\DLink\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O17 - HKLM\System\CCS\Services\Tcpip\..\{A107159E-3E7A-4735-B18A-E83165E2FD45}: NameServer = 194.97.173.125 194.97.173.124 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe --------------------------------------------------------------- PS. das ist aber schon mein Log Ich würde mich auf jede Hilfe freuen... DANKE , Gruß filpus |
11.06.2007, 11:31 | #2 |
| Ebenfalls Trojaner "TR/Agent.33302" Hallo
__________________Mach zuerst alle versteckten Dateien und Ordner sichtbar und dann lade dir mal Vundofix * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. C:\VundoFix Backups - löschen + Papierkorb leeren. Anschließend lade dir datFind.bat, nach dem Scan kopiere nur die letzten 30 Tage ab und poste sie. MFG |
11.06.2007, 12:36 | #3 |
| Ebenfalls Trojaner "TR/Agent.33302" hallo nochmal,
__________________ich hoffe, dass ich alles richtig gemacht habe... Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 48FB-F8C8 Verzeichnis von C:\WINDOWS\system32 11.06.2007 08:10 312.946 perfh009.dat 11.06.2007 08:10 40.664 perfc009.dat 11.06.2007 08:10 318.106 perfh007.dat 11.06.2007 08:10 49.028 perfc007.dat 11.06.2007 08:10 728.270 PerfStringBackup.INI 10.06.2007 17:44 2.206 wpa.dbl 10.06.2007 15:17 18.254 ssnvfx.ini 07.06.2007 16:09 33.302 xxyyvww.dll 27.04.2007 22:45 14.970.328 MRT.exe danke nochmal.... mfg filpus |
11.06.2007, 12:42 | #4 |
| Ebenfalls Trojaner "TR/Agent.33302" ..... oder ist der log der richtige : Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 48FB-F8C8 Verzeichnis von C:\DOKUME~1\phil\LOKALE~1\Temp 11.06.2007 13:32 158.304 jusched.log 11.06.2007 13:31 289 datFind.zip 11.06.2007 13:29 16.384 ~DFD774.tmp 11.06.2007 13:29 512 ~DF616A.tmp 11.06.2007 13:29 16.384 ~DF6158.tmp 11.06.2007 13:29 32.768 ~DFA9AF.tmp 11.06.2007 13:28 42.310 LVCOMSX.LOG 11.06.2007 13:24 32.768 ~DF9F15.tmp 11.06.2007 13:12 32.768 ~DFB918.tmp 11.06.2007 11:47 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}620.html 11.06.2007 08:07 16.384 ~DFE61B.tmp 11.06.2007 08:07 16.384 ~DFDB97.tmp 11.06.2007 08:07 512 ~DFDBA9.tmp 11.06.2007 08:07 32.768 ~DF747.tmp 11.06.2007 08:06 16.384 Perflib_Perfdata_218.dat 10.06.2007 20:00 16.384 ~DF6B1C.tmp 10.06.2007 20:00 16.384 ~DF5ED8.tmp 10.06.2007 20:00 32.768 ~DF999F.tmp 10.06.2007 17:42 49.066 e4e3_appcompat.txt 10.06.2007 13:48 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}13731.html 10.06.2007 13:46 16.384 ~DFB92E.tmp 10.06.2007 13:46 16.384 ~DFAB39.tmp 10.06.2007 13:46 32.768 ~DF9FCC.tmp 09.06.2007 12:47 16.384 ~DF211B.tmp 09.06.2007 12:47 16.384 ~DF468.tmp 09.06.2007 12:46 32.768 ~DFAB36.tmp 09.06.2007 12:44 3.494 6ccd_appcompat.txt 09.06.2007 10:47 32.768 ~DF696E.tmp 09.06.2007 10:30 3.494 91e6_appcompat.txt 09.06.2007 00:35 49.066 df20_appcompat.txt 08.06.2007 23:59 28.779.008 MWAV.LOG 08.06.2007 23:59 213.867 mwXface.log 08.06.2007 00:16 49.066 a213_appcompat.txt 07.06.2007 20:46 16.384 ~DF6362.tmp 07.06.2007 20:46 16.384 ~DF45BA.tmp 07.06.2007 20:42 32.768 ~DF1469.tmp 07.06.2007 20:38 3.494 3d73_appcompat.txt 07.06.2007 20:07 16.384 ~DF621.tmp 07.06.2007 20:07 16.384 ~DFFB23.tmp 07.06.2007 20:07 32.768 ~DF1E83.tmp 07.06.2007 18:44 16.384 ~DF56F4.tmp 07.06.2007 18:44 16.384 ~DF567F.tmp 07.06.2007 18:44 16.384 ~DF56CD.tmp 07.06.2007 18:44 16.384 ~DF56A6.tmp 07.06.2007 15:37 50.288 java_install_reg.log 07.06.2007 09:15 16.384 ~DF7224.tmp 07.06.2007 09:15 16.384 ~DF675C.tmp 07.06.2007 09:14 32.768 ~DF980A.tmp 06.06.2007 22:58 49.066 ae8_appcompat.txt 06.06.2007 12:18 16.384 ~DF8B55.tmp 06.06.2007 12:18 16.384 ~DF7E0F.tmp 06.06.2007 12:18 32.768 ~DFC9AE.tmp 06.06.2007 11:36 16.384 ~DF90C9.tmp 06.06.2007 11:36 16.384 ~DF595B.tmp 06.06.2007 11:36 1.309 1E.wmz 06.06.2007 11:36 32.768 ~DF636A.tmp 06.06.2007 07:31 16.384 ~DFBDA0.tmp 06.06.2007 07:31 16.384 ~DFA9BD.tmp 06.06.2007 00:09 49.066 41e9_appcompat.txt 05.06.2007 23:27 16.384 ~DF72DA.tmp 05.06.2007 23:27 16.384 ~DF6811.tmp 05.06.2007 23:27 32.768 ~DF7E61.tmp 05.06.2007 23:16 49.066 a8aa_appcompat.txt 05.06.2007 09:20 16.384 ~DFAC87.tmp 05.06.2007 09:20 16.384 ~DF6A36.tmp 05.06.2007 09:20 32.768 ~DFC1D9.tmp 05.06.2007 05:46 49.066 41f_appcompat.txt 04.06.2007 23:59 0 fpkA3.tmp 04.06.2007 23:57 0 s08A2.tmp 04.06.2007 23:54 0 3q4A1.tmp 04.06.2007 23:02 3.072 miunst_.exe 04.06.2007 17:30 23.814.184 SkypeSetup.exe 04.06.2007 14:29 16.384 ~DFCEE1.tmp 04.06.2007 14:29 16.384 ~DFBFE7.tmp 03.06.2007 00:18 49.066 6267_appcompat.txt 03.06.2007 00:12 1.009 purpleZ3YTTT.html 01.06.2007 21:13 49.066 3602_appcompat.txt 31.05.2007 21:55 49.066 b08a_appcompat.txt 31.05.2007 17:23 305 GEARInstall.log 31.05.2007 17:22 20.956 QTInstallCode.log 31.05.2007 17:16 3.885 qtplugin.log 31.05.2007 11:00 16.384 ~DF23FD.tmp 31.05.2007 11:00 16.384 ~DF162B.tmp 30.05.2007 12:09 16.384 ~DF2E75.tmp 30.05.2007 12:09 16.384 ~DF355.tmp 29.05.2007 20:25 16.384 ~DFF4F8.tmp 29.05.2007 20:25 16.384 ~DF100A.tmp 29.05.2007 20:25 32.768 ~DFF9A.tmp 29.05.2007 08:54 16.384 ~DF305.tmp 29.05.2007 08:54 16.384 ~DFF8C1.tmp 29.05.2007 08:54 32.768 ~DFFFE4.tmp 27.05.2007 17:45 49.066 dc95_appcompat.txt 24.05.2007 20:23 49.066 dd8c_appcompat.txt 23.05.2007 22:04 49.066 a3b1_appcompat.txt 23.05.2007 11:44 444 MspLauncherErrLog.tmp 23.05.2007 11:14 26.624 deutsch20070131.doc 23.05.2007 10:49 0 os01C.tmp 23.05.2007 10:48 0 zh51B.tmp 23.05.2007 10:48 0 gsx1A.tmp 23.05.2007 10:31 59.964 Adobelm_Cleanup.0001 23.05.2007 09:18 32.768 ~DFB25B.tmp 22.05.2007 22:39 49.066 942a_appcompat.txt 22.05.2007 15:32 0 3hr1B.tmp 22.05.2007 14:32 0 ula17.tmp 22.05.2007 14:32 0 48x16.tmp 22.05.2007 14:31 0 m2915.tmp 21.05.2007 13:51 16.384 ~DF786B.tmp 21.05.2007 13:51 16.384 ~DF69B0.tmp 20.05.2007 20:17 49.066 7ae1_appcompat.txt 20.05.2007 19:09 0 CacheInfo.dnl 20.05.2007 14:37 32.768 UDFAVDP.ADHM 20.05.2007 10:04 16.384 ~DF1567.tmp 20.05.2007 10:04 16.384 ~DFFC25.tmp 20.05.2007 10:04 32.768 ~DF9290.tmp 19.05.2007 12:16 16.384 ~DFAEBE.tmp 19.05.2007 12:16 32.768 ~DF2E54.tmp 18.05.2007 22:36 49.066 c0be_appcompat.txt 16.05.2007 18:50 49.066 36ba_appcompat.txt 16.05.2007 13:05 16.384 ~DF81F8.tmp 16.05.2007 13:05 16.384 ~DF7A38.tmp 16.05.2007 13:04 32.768 ~DF1D93.tmp 15.05.2007 21:00 49.066 883c_appcompat.txt 15.05.2007 20:32 0 jar_cache19027.tmp 15.05.2007 20:32 0 jar_cache19025.tmp 15.05.2007 14:31 16.384 ~DFF2A.tmp 15.05.2007 14:31 16.384 ~DFA551.tmp 14.05.2007 22:42 49.066 b89c_appcompat.txt 14.05.2007 13:31 16.384 ~DF2339.tmp 14.05.2007 13:31 16.384 ~DFBE6.tmp 14.05.2007 13:31 32.768 ~DF1397.tmp 13.05.2007 22:00 49.066 d33c_appcompat.txt 12.05.2007 23:11 149.520 ~NP38.tmp 12.05.2007 23:11 149.520 ~NP37.tmp 12.05.2007 22:03 1.470 TWAIN.LOG 12.05.2007 22:03 4 Twain001.Mtx 12.05.2007 22:03 156 Twunk001.MTX 12.05.2007 21:56 369.152 dlg_0x6AE63F188.tmp 12.05.2007 11:19 16.384 ~DFE000.tmp 12.05.2007 11:19 16.384 ~DFC582.tmp 11.05.2007 19:40 49.066 3ff6_appcompat.txt 11.05.2007 15:15 16.384 ~DF2FDB.tmp 11.05.2007 15:15 16.384 ~DF1803.tmp 10.05.2007 21:37 49.066 5e0e_appcompat.txt |
17.06.2007, 15:39 | #5 |
| Ebenfalls Trojaner "TR/Agent.33302" Hallo irgendwie scheinen mir in letzter Zeit öfter Leute hinten runter zu fallen erstmal die Frage vorweg, hast du noch Probleme? Lade dir mal die Filelist.zip 1.) Lade dir die Filelist.zip auf den Desktop 2.) entpacke die Zip-Datei auf deinen Desktop 3.) starte den Rechner neu 4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei 5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen 6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, poste den Inhalt dieser Dateien in nächsten Beitrag (es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS, C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp). ein neues HijackThis log würde ich auch gern sehen, benenne aber vorher die Hijackthis.exe um in ABC.exe. MFG |
18.06.2007, 09:52 | #6 |
| Ebenfalls Trojaner "TR/Agent.33302" Hallo, die Fehlermeldung von Antivir ist heute das erste mal (noch) nicht aufgetreten. Aber der Trojaner kann doch nicht einfach so weg sein?! Also hier der Text von filelist: Verzeichnis von C:\ 18.06.2007 10:40 43 filelist.txt 18.06.2007 10:38 805.306.368 pagefile.sys 11.06.2007 13:38 61.997 systemtemp.txt 11.06.2007 13:31 105.913 system32.txt 11.06.2007 13:26 1.220 VundoFix.txt 10.06.2007 19:16 50 23990098.$$$ 22.12.2006 19:15 50 AUTOEXEC.BAT 18.04.2006 17:39 211 boot.ini 30.03.2006 19:18 183 LogiSetup.log Verzeichnis von C:\WINDOWS 18.06.2007 10:39 159 wiadebug.log 18.06.2007 10:39 1.942.372 WindowsUpdate.log 18.06.2007 10:39 50 wiaservc.log 18.06.2007 10:39 0 0.log 18.06.2007 10:38 2.048 bootstat.dat 14.06.2007 18:38 202 NeroDigital.ini 13.06.2007 11:33 968.639 iis6.log 13.06.2007 11:33 254.523 comsetup.log 13.06.2007 11:33 42.346 ocmsn.log 13.06.2007 11:33 1.374 imsins.log 13.06.2007 11:33 19.919 KB933566.log 13.06.2007 11:33 34.338 tabletoc.log 13.06.2007 11:33 351.423 tsoc.log 13.06.2007 11:33 158.889 ntdtcsetup.log 13.06.2007 11:33 399.427 ocgen.log 13.06.2007 11:33 53.482 medctroc.Log 13.06.2007 11:33 125.786 netfxocm.log 13.06.2007 11:33 37.801 msgsocm.log 13.06.2007 11:33 780.300 FaxSetup.log 13.06.2007 11:33 256.038 msmqinst.log 13.06.2007 11:33 41.723 updspapi.log 13.06.2007 11:33 1.374 imsins.BAK 13.06.2007 11:33 11.730 KB929123.log 13.06.2007 11:32 11.034 KB935840.log 13.06.2007 11:31 10.978 KB935839.log 12.06.2007 10:41 151 PhotoSnapViewer.INI 10.06.2007 17:46 50 Lic.xxx 10.06.2007 17:45 108.630 ntbtlog.txt 04.06.2007 16:28 271.575 setupapi.log 02.06.2007 16:44 32.556 SchedLgU.Txt 24.05.2007 19:41 7.497 KB927891.log 22.05.2007 15:32 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung #4.txt 09.05.2007 14:33 10.420 KB930916.log Verzeichnis von C:\WINDOWS\system letztes Datum 04.08.2004 Verzeichnis von C:\WINDOWS\system32 18.06.2007 10:40 954.756 pqstv.ini2 18.06.2007 10:38 886.490 biumieij.ini 18.06.2007 10:38 2.206 wpa.dbl 18.06.2007 10:01 312.946 perfh009.dat 18.06.2007 10:01 40.664 perfc009.dat 18.06.2007 10:01 318.106 perfh007.dat 18.06.2007 10:01 49.028 perfc007.dat 18.06.2007 10:01 728.270 PerfStringBackup.INI 16.06.2007 14:11 124.436 jieimuib.dll 16.06.2007 14:11 924.828 pqstv.bak2 16.06.2007 14:10 926.596 umvhrbxc.ini 13.06.2007 13:45 18.254 ssnvfx.ini 13.06.2007 11:36 944.108 rcplpudf.ini 12.06.2007 18:40 954.543 pqstv.ini 12.06.2007 09:41 964.890 cuuomglh.ini 12.06.2007 09:26 927.520 pqstv.tmp 12.06.2007 09:04 943.868 xyyeqxoe.ini 12.06.2007 09:02 923.735 pqstv.bak1 11.06.2007 13:33 262.708 vtsqp.dll 06.06.2007 08:38 15.747.032 MRT.exe 16.05.2007 17:11 683.520 inetcomm.dll Verzeichnis von C:\WINDOWS\Prefetch 02.06.2007 16:40 15.028 XP-ANTISPY_DE.EXE-08D6D7E1.pf 02.06.2007 16:35 89.086 ACRORD32.EXE-0EC716D9.pf 02.06.2007 16:35 51.116 ACRORD32INFO.EXE-30CEC19C.pf 02.06.2007 16:34 13.392 VERCLSID.EXE-3667BD89.pf 02.06.2007 16:30 77.936 DFRGNTFS.EXE-269967DF.pf 02.06.2007 16:30 45.554 DEFRAG.EXE-273F131E.pf 02.06.2007 16:30 610.252 Layout.ini 02.06.2007 16:26 33.590 LOGON.SCR-151EFAEA.pf 02.06.2007 16:04 83.216 FIREFOX.EXE-1D57670A.pf 02.06.2007 15:56 93.584 SOFFICE.EXE-1985499C.pf 02.06.2007 15:50 36.148 EPMWORKER.EXE-36EA6AD1.pf 02.06.2007 15:50 44.640 GENERIC.EXE-0FF6F96D.pf 02.06.2007 15:50 17.782 CONNECTIONWIZARD.EXE-36F3825D.pf 02.06.2007 15:50 29.988 SKYPEPM.EXE-03F1BFBD.pf 02.06.2007 15:50 12.218 KHALMNPR.EXE-020439BB.pf 01.06.2007 21:13 8.304 DRWTSN32.EXE-2B4B52AC.pf 01.06.2007 21:13 8.446 DWWIN.EXE-30875ADC.pf 01.06.2007 21:13 18.132 LOGONUI.EXE-0AF22957.pf 01.06.2007 19:06 50.166 AVSCAN.EXE-05AECC0E.pf 01.06.2007 16:26 24.332 SNDSTORM.EXE-0B0FA0FB.pf 01.06.2007 14:27 105.706 THUNDERBIRD.EXE-031A6371.pf 01.06.2007 14:21 35.700 PHOTOSNAP.EXE-3A45ED5C.pf 01.06.2007 14:21 30.722 PHOTOSNAPVIEWER.EXE-1689AA3B.pf 01.06.2007 14:16 24.494 SCRIPT-FU.EXE-0D77E8FB.pf 01.06.2007 14:16 89.490 GIMP-2.2.EXE-34A4E144.pf 01.06.2007 14:16 28.066 JPEG.EXE-2C4DEBB5.pf 01.06.2007 14:14 32.222 WMIPRVSE.EXE-28F301A9.pf 01.06.2007 14:14 70.292 WUAUCLT.EXE-399A8E72.pf 01.06.2007 14:13 64.464 ACROBAT.EXE-02E9AE67.pf 01.06.2007 11:01 52.934 AVNOTIFY.EXE-22AE9451.pf 01.06.2007 11:01 49.832 UPDATE.EXE-13D57D76.pf 01.06.2007 11:01 12.758 PREUPD.EXE-358AA1C1.pf 01.06.2007 10:08 29.560 WMIADAP.EXE-2DF425B2.pf 31.05.2007 19:27 32.410 HELPER.EXE-244ABC1F.pf 31.05.2007 19:26 65.800 UPDATER.EXE-0012DCE4.pf 31.05.2007 19:25 77.026 RUNDLL32.EXE-1BC55A4F.pf 31.05.2007 17:23 11.832 ITUNESHELPER.EXE-08906EB7.pf 31.05.2007 17:23 40.122 IPODSERVICE.EXE-233792DA.pf 31.05.2007 17:22 161.504 MSIEXEC.EXE-2F8A8CAE.pf 31.05.2007 17:22 92.534 ITUNES.EXE-15E88941.pf 31.05.2007 17:22 10.678 QTTASK.EXE-2D7EEF34.pf 31.05.2007 14:33 89.408 FIREFOX.EXE-17EE503B.pf 31.05.2007 11:03 25.804 AVGNT.EXE-36CA4640.pf 31.05.2007 11:03 49.562 AVGUARD.EXE-3490B18B.pf 29.05.2007 20:25 12.924 RUNDLL32.EXE-451FC2C0.pf 29.05.2007 08:54 20.106 SVCHOST.EXE-3530F672.pf 29.05.2007 08:54 9.606 BTWDINS.EXE-0D1CF9D8.pf 29.05.2007 08:54 45.646 SCHED.EXE-236A886F.pf 01.01.2002 00:50 31.332 SETPOINT.EXE-06E7AE51.pf Verzeichnis von C:\WINDOWS\tasks 02.06.2007 16:44 6 SA.DAT 10.03.2007 13:10 276 AppleSoftwareUpdate.job Verzeichnis von C:\WINDOWS\Temp 18.06.2007 10:39 16.384 Perflib_Perfdata_f30.dat 18.06.2007 09:59 0 Upd25.tmp 16.06.2007 14:11 0 Upd24.tmp 14.06.2007 12:47 0 Upd23.tmp 13.06.2007 12:47 0 Upd22.tmp 12.06.2007 12:47 0 Upd21.tmp 11.06.2007 13:48 0 Upd1E.tmp 10.06.2007 13:48 0 Upd1D.tmp 09.06.2007 10:38 0 Upd1.tmp 07.06.2007 12:18 0 Upd1C.tmp 06.06.2007 12:19 0 Upd1B.tmp 05.06.2007 09:20 0 Upd1A.tmp 05.06.2007 09:20 0 Upd19.tmp 01.06.2007 11:01 0 Upd18.tmp 31.05.2007 11:01 0 Upd17.tmp 29.05.2007 08:56 0 Upd16.tmp 27.05.2007 16:56 0 Upd15.tmp 24.05.2007 19:41 0 Upd14.tmp 23.05.2007 14:21 0 Upd2E.tmp 22.05.2007 13:57 0 Upd13.tmp 20.05.2007 12:18 0 Upd12.tmp 19.05.2007 12:18 0 Upd11.tmp 16.05.2007 14:32 0 Upd32.tmp 15.05.2007 14:32 0 Upd10.tmp Verzeichnis von C:\DOKUME~1\phil\LOKALE~1\Temp 18.06.2007 10:39 32.768 ~DFCB8C.tmp 18.06.2007 10:38 16.384 Perflib_Perfdata_21c.dat 18.06.2007 10:38 1.309 1.wmz 18.06.2007 10:38 50.793 LVCOMSX.LOG 18.06.2007 10:34 3.494 6bd4_appcompat.txt 18.06.2007 10:14 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}14420.html 18.06.2007 10:13 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}11390.html 18.06.2007 10:02 159.515 jusched.log 18.06.2007 09:58 16.384 ~DFC968.tmp 18.06.2007 09:58 16.384 ~DF8881.tmp 16.06.2007 14:10 16.384 ~DF6099.tmp 16.06.2007 14:10 16.384 ~DF4224.tmp 15.06.2007 00:29 49.066 fb11_appcompat.txt 14.06.2007 15:05 0 CacheInfo.dnl 14.06.2007 12:43 16.384 ~DF642.tmp 14.06.2007 12:43 16.384 ~DFDE23.tmp 14.06.2007 12:43 32.768 ~DFEEAE.tmp 13.06.2007 22:48 49.066 c6a1_appcompat.txt 13.06.2007 11:36 16.384 ~DF384D.tmp 13.06.2007 11:36 16.384 ~DF1162.tmp 13.06.2007 11:36 32.768 ~DF888A.tmp 13.06.2007 11:33 3.494 84bc_appcompat.txt 13.06.2007 11:26 16.384 ~DF6E8B.tmp 13.06.2007 11:26 16.384 ~DF5C29.tmp 13.06.2007 11:26 32.768 ~DFBAB6.tmp 12.06.2007 21:14 1.008 purpleHTSLTT.html 12.06.2007 18:42 32.768 ~DFCD04.tmp 12.06.2007 18:40 38.148 1eab_appcompat.txt 12.06.2007 14:33 0 TempCover3 12.06.2007 09:40 32.768 ~DF359F.tmp 12.06.2007 00:19 49.066 6fc4_appcompat.txt 11.06.2007 13:29 16.384 ~DFD774.tmp 11.06.2007 13:29 16.384 ~DF6158.tmp 11.06.2007 13:29 32.768 ~DFA9AF.tmp 11.06.2007 13:24 32.768 ~DF9F15.tmp 11.06.2007 13:12 32.768 ~DFB918.tmp 11.06.2007 08:07 16.384 ~DFE61B.tmp 11.06.2007 08:07 16.384 ~DFDB97.tmp 11.06.2007 08:07 512 ~DFDBA9.tmp 11.06.2007 08:07 32.768 ~DF747.tmp 11.06.2007 08:06 16.384 Perflib_Perfdata_218.dat 10.06.2007 20:00 16.384 ~DF6B1C.tmp 10.06.2007 20:00 16.384 ~DF5ED8.tmp 10.06.2007 20:00 32.768 ~DF999F.tmp 10.06.2007 17:42 49.066 e4e3_appcompat.txt 10.06.2007 13:46 16.384 ~DFB92E.tmp 10.06.2007 13:46 16.384 ~DFAB39.tmp 10.06.2007 13:46 32.768 ~DF9FCC.tmp 09.06.2007 12:47 16.384 ~DF211B.tmp 09.06.2007 12:47 16.384 ~DF468.tmp 09.06.2007 12:46 32.768 ~DFAB36.tmp 09.06.2007 12:44 3.494 6ccd_appcompat.txt 09.06.2007 10:47 32.768 ~DF696E.tmp 09.06.2007 10:30 3.494 91e6_appcompat.txt 09.06.2007 00:35 49.066 df20_appcompat.txt 08.06.2007 23:59 28.779.008 MWAV.LOG 08.06.2007 23:59 213.867 mwXface.log 08.06.2007 00:16 49.066 a213_appcompat.txt 07.06.2007 20:46 16.384 ~DF6362.tmp 07.06.2007 20:46 16.384 ~DF45BA.tmp 07.06.2007 20:42 32.768 ~DF1469.tmp 07.06.2007 20:38 3.494 3d73_appcompat.txt 07.06.2007 20:07 16.384 ~DF621.tmp 07.06.2007 20:07 16.384 ~DFFB23.tmp 07.06.2007 20:07 32.768 ~DF1E83.tmp 07.06.2007 18:44 16.384 ~DF56F4.tmp 07.06.2007 18:44 16.384 ~DF56CD.tmp 07.06.2007 18:44 16.384 ~DF56A6.tmp 07.06.2007 18:44 16.384 ~DF567F.tmp 07.06.2007 15:37 50.288 java_install_reg.log 07.06.2007 09:15 16.384 ~DF7224.tmp 07.06.2007 09:15 16.384 ~DF675C.tmp 07.06.2007 09:14 32.768 ~DF980A.tmp 06.06.2007 22:58 49.066 ae8_appcompat.txt 06.06.2007 12:18 16.384 ~DF8B55.tmp 06.06.2007 12:18 16.384 ~DF7E0F.tmp 06.06.2007 12:18 32.768 ~DFC9AE.tmp 06.06.2007 11:36 16.384 ~DF90C9.tmp 06.06.2007 11:36 16.384 ~DF595B.tmp 06.06.2007 11:36 1.309 1E.wmz 06.06.2007 11:36 32.768 ~DF636A.tmp 06.06.2007 07:31 16.384 ~DFBDA0.tmp 06.06.2007 07:31 16.384 ~DFA9BD.tmp 06.06.2007 00:09 49.066 41e9_appcompat.txt 05.06.2007 23:27 16.384 ~DF72DA.tmp 05.06.2007 23:27 16.384 ~DF6811.tmp 05.06.2007 23:27 32.768 ~DF7E61.tmp 05.06.2007 23:16 49.066 a8aa_appcompat.txt 05.06.2007 09:20 16.384 ~DFAC87.tmp 05.06.2007 09:20 16.384 ~DF6A36.tmp 05.06.2007 09:20 32.768 ~DFC1D9.tmp 05.06.2007 05:46 49.066 41f_appcompat.txt 04.06.2007 23:59 0 fpkA3.tmp 04.06.2007 23:57 0 s08A2.tmp 04.06.2007 23:54 0 3q4A1.tmp 04.06.2007 23:02 3.072 miunst_.exe 04.06.2007 17:30 23.814.184 SkypeSetup.exe 04.06.2007 14:29 16.384 ~DFCEE1.tmp 04.06.2007 14:29 16.384 ~DFBFE7.tmp 03.06.2007 00:18 49.066 6267_appcompat.txt 03.06.2007 00:12 1.009 purpleZ3YTTT.html 01.06.2007 21:13 49.066 3602_appcompat.txt 31.05.2007 21:55 49.066 b08a_appcompat.txt 31.05.2007 17:23 305 GEARInstall.log 31.05.2007 17:22 20.956 QTInstallCode.log 31.05.2007 17:16 3.885 qtplugin.log 31.05.2007 11:00 16.384 ~DF23FD.tmp 31.05.2007 11:00 16.384 ~DF162B.tmp 30.05.2007 12:09 16.384 ~DF2E75.tmp 30.05.2007 12:09 16.384 ~DF355.tmp 29.05.2007 20:25 16.384 ~DFF4F8.tmp 29.05.2007 20:25 16.384 ~DF100A.tmp 29.05.2007 20:25 32.768 ~DFF9A.tmp 29.05.2007 08:54 16.384 ~DF305.tmp 29.05.2007 08:54 16.384 ~DFF8C1.tmp 29.05.2007 08:54 32.768 ~DFFFE4.tmp 27.05.2007 17:45 49.066 dc95_appcompat.txt 24.05.2007 20:23 49.066 dd8c_appcompat.txt 23.05.2007 22:04 49.066 a3b1_appcompat.txt 23.05.2007 11:44 444 MspLauncherErrLog.tmp 23.05.2007 11:14 26.624 deutsch20070131.doc 23.05.2007 10:49 0 os01C.tmp 23.05.2007 10:48 0 zh51B.tmp 23.05.2007 10:48 0 gsx1A.tmp 23.05.2007 10:31 59.964 Adobelm_Cleanup.0001 23.05.2007 09:18 32.768 ~DFB25B.tmp 22.05.2007 22:39 49.066 942a_appcompat.txt 22.05.2007 15:32 0 3hr1B.tmp 22.05.2007 14:32 0 ula17.tmp 22.05.2007 14:32 0 48x16.tmp 22.05.2007 14:31 0 m2915.tmp 21.05.2007 13:51 16.384 ~DF786B.tmp 21.05.2007 13:51 16.384 ~DF69B0.tmp 20.05.2007 20:17 49.066 7ae1_appcompat.txt 20.05.2007 14:37 32.768 UDFAVDP.ADHM 20.05.2007 10:04 16.384 ~DF1567.tmp 20.05.2007 10:04 16.384 ~DFFC25.tmp 20.05.2007 10:04 32.768 ~DF9290.tmp 19.05.2007 12:16 16.384 ~DFAEBE.tmp 19.05.2007 12:16 32.768 ~DF2E54.tmp 18.05.2007 22:36 49.066 c0be_appcompat.txt 16.05.2007 18:50 49.066 36ba_appcompat.txt 16.05.2007 13:05 16.384 ~DF81F8.tmp 16.05.2007 13:05 16.384 ~DF7A38.tmp 16.05.2007 13:04 32.768 ~DF1D93.tmp |
18.06.2007, 09:53 | #7 |
| Ebenfalls Trojaner "TR/Agent.33302" So, und jetzt noch ein neuer HJT-log: Logfile of HijackThis v1.99.1 Scan saved at 10:53:05, on 18.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\ICQ\ICQLite.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\FRNDSL\FRNDSL.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\phil\Eigene Dateien\hijackthis_199\ABC.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {814DE370-F4E5-4A8D-8324-61783DCEE69B} - C:\WINDOWS\system32\vtsqp.dll O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\xxyyvww.dll (file missing) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\WINDOWS\system32\eecikska.dll (file missing) O2 - BHO: (no name) - {F830F533-D048-4BCE-8234-9EFB3E3A8B32} - C:\WINDOWS\system32\mlljg.dll (file missing) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQ\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\jieimuib.dll",realset O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Startup: thoosje's sidebar.lnk = C:\Programme\Vista Sidebar v1.7.8\thoosje's sidebar.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.75\MediaManager\grab.html O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\DLink\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O17 - HKLM\System\CCS\Services\Tcpip\..\{A107159E-3E7A-4735-B18A-E83165E2FD45}: NameServer = 194.97.173.125 194.97.173.124 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: vtsqp - C:\WINDOWS\system32\vtsqp.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O20 - Winlogon Notify: xxyyvww - xxyyvww.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\hmfadnmg.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe |
18.06.2007, 20:51 | #8 |
| Ebenfalls Trojaner "TR/Agent.33302" Hallo Lade dir Clearprog runter ClearProg und lasse es dein System bereinigen(hake an --> alles löschen) lass alles löschen, anschließend starte bitte HijackThis mit der Option - do a system scan only - und hake diese Einträge an : O2 - BHO: (no name) - {814DE370-F4E5-4A8D-8324-61783DCEE69B} - C:\WINDOWS\system32\vtsqp.dll O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\xxyyvww.dll (file missing) O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\WINDOWS\system32\eecikska.dll (file missing) O2 - BHO: (no name) - {F830F533-D048-4BCE-8234-9EFB3E3A8B32} - C:\WINDOWS\system32\mlljg.dll (file missing) O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\jieimuib.dll",realset O20 - Winlogon Notify: vtsqp - C:\WINDOWS\system32\vtsqp.dll O20 - Winlogon Notify: xxyyvww - xxyyvww.dll (file missing) O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\hmfadnmg.exe (file missing) dann auf - fix checked - klicken und HijackThis beenden. Starte den Rechner in den abgesicherten Modus (beim start F8 drücken) und lösche diese Dateien wenn noch vorhanden : C:\WINDOWS\system32\vtsqp.dll C:\WINDOWS\system32\jieimuib.dll C:\WINDOWS\system32\pqstv.ini2 C:\WINDOWS\system32\biumieij.ini C:\WINDOWS\system32\pqstv.bak2 C:\WINDOWS\system32\umvhrbxc.ini C:\WINDOWS\system32\ssnvfx.ini C:\WINDOWS\system32\rcplpudf.ini C:\WINDOWS\system32\pqstv.ini C:\WINDOWS\system32\cuuomglh.ini C:\WINDOWS\system32\pqstv.tmp C:\WINDOWS\system32\xyyeqxoe.ini C:\WINDOWS\system32\pqstv.bak1 leere den Mülleimer und starte das System in den normalen Modus, lass Clearprog nochmal laufen. Bitte dein Antivir Updaten und das komplette System durchsuchen lassen und dann berichte nochmal. MFG |
19.06.2007, 09:41 | #9 |
| Ebenfalls Trojaner "TR/Agent.33302" ich hab das genau das gleiche problem:AntiVir hat ein troyanisches Pferd namens TR/Agent.33302 gefunden und dann steht aber statt C:\WINDOWS\system32\xxyyvww.dll, C:\WINDOWS\system32\gebyaba.dll. dann hab ich nach dieser datei gesucht um sie zu löschen doch sie wird anscheinend von einem anderen benutzer bzw. programm genuzt dabei bin ich der einzige nutzer und welches programm das sein könnte weis ich nicht. also hab ich mich etwas schlau gemacht und hab das programm Combofix gestartet welches den PC 2* neu gestartet hat. dann kamen keine viren meldungen(ist das problem dann behoben?gebyaba.dll existiert noch)mehr und combofix hat folgende 2 .txt dateien ausgeworfen log: ComboFix 07-06-18.2 "Thomas" - 2007-06-19 9:29:53 - Service Pack 2 NTFS Rootkit driver huy32 is present. ... attempting disinfection Rootkit driver xpdt is present. ... attempting disinfection huy32 ...... driver unloaded successfully. xpdt ...... driver unloaded successfully. (((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\hgjlm.ini C:\WINDOWS\system32\mljgh.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\msxml3a.dll C:\WINDOWS\system32\sysdm.exe ((((((((((((((((((((((((( Files Created from 2007-05-19 to 2007-06-19 ))))))))))))))))))))))))))))))) 2007-06-19 09:19 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-19 08:16 26,624 --a------ C:\WINDOWS\system32\ssmenu.dll 2007-06-19 08:16 1,308 --a------ C:\WINDOWS\system32\tsdigsgn.dat 2007-06-19 08:16 <DIR> d---s---- C:\Programmi\File comuni\Teknum Systems 2007-06-19 08:16 <DIR> d-------- C:\Programmi\HandyBits 2007-06-18 12:55 719,872 --a------ C:\WINDOWS\system32\devil.dll 2007-06-18 12:55 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll 2007-06-18 12:55 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll 2007-06-18 12:55 66,560 --a------ C:\WINDOWS\MOTA113.exe 2007-06-18 12:55 502,784 --a------ C:\WINDOWS\x2.64.exe 2007-06-18 12:55 471,552 --a------ C:\WINDOWS\system32\Smab.dll 2007-06-18 12:55 306,688 --a------ C:\WINDOWS\system32\avisynth.dll 2007-06-18 12:55 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll 2007-06-18 12:55 240,128 --a------ C:\WINDOWS\system32\x.264.exe 2007-06-18 12:55 217,073 --a------ C:\WINDOWS\meta4.exe 2007-06-18 12:54 31,744 -rahs---- C:\WINDOWS\system32\msfDX.dll 2007-06-18 12:54 163,328 -rahs---- C:\WINDOWS\system32\flvDX.dll 2007-06-18 12:54 <DIR> d-------- C:\Programmi\eRightSoft 2007-06-18 12:01 <DIR> d-------- C:\Programmi\DVDVIDEOSOFT 2007-06-18 10:34 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\AVSMedia 2007-06-18 10:33 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\AVS4YOU 2007-06-18 10:27 <DIR> d-------- C:\Programmi\File comuni\AVSMedia 2007-06-18 10:26 974,848 --a------ C:\WINDOWS\system32\mfc70.dll 2007-06-18 10:26 524,288 --a------ C:\WINDOWS\system32\xvidcore.dll 2007-06-18 10:26 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll 2007-06-18 10:26 413,760 --a------ C:\WINDOWS\system32\mpg4c32.dll 2007-06-18 10:26 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll 2007-06-18 10:26 261,632 --a------ C:\WINDOWS\system32\mcdvd_32.dll 2007-06-18 10:26 139,264 --a------ C:\WINDOWS\system32\xvidvfw.dll 2007-06-16 22:05 <DIR> d-------- C:\Programmi\Metin2 2007-06-09 20:36 <DIR> d-------- C:\Nokia 2007-06-09 20:36 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\.Nokia 2007-06-09 20:10 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\WindowsLiveInstaller 2007-06-09 20:09 <DIR> d-------- C:\Programmi\Windows Live 2007-06-09 20:09 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\WLInstaller 2007-06-09 19:07 33,302 --a------ C:\WINDOWS\system32\gebyaba.dll 2007-06-09 19:04 <DIR> d--h----- C:\Programmi\Zero G Registry 2007-06-09 19:04 <DIR> d--h----- C:\DOCUME~1\ROBERT~1.NB-\InstallAnywhere 2007-06-06 17:55 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\Nokia Multimedia Player 2007-06-06 17:00 <DIR> d-------- C:\Programmi\Total Video Converter 2007-06-06 16:53 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\PC Suite 2007-06-06 16:45 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\Nokia 2007-06-06 16:44 <DIR> d-------- C:\Programmi\File comuni\PCSuite 2007-06-06 16:44 <DIR> d-------- C:\Programmi\File comuni\Nokia 2007-06-06 16:44 <DIR> d-------- C:\Programmi\DIFX 2007-06-06 16:43 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll 2007-06-06 16:43 <DIR> d-------- C:\Programmi\PC Connectivity Solution 2007-06-06 16:43 <DIR> d-------- C:\Programmi\Nokia 2007-06-06 16:38 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\Installations 2007-05-26 14:23 <DIR> d-------- C:\Programmi\Windows Live Safety Center 2007-05-21 21:04 <DIR> d-------- C:\Programmi\QuickTime 2007-05-21 19:30 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\Lingo4u 2007-05-21 19:08 <DIR> d-------- C:\Programmi\LingoPad 2007-05-21 19:02 <DIR> d-------- C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\Babylon 2007-05-21 19:02 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATIAP~1\Babylon (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-19 07:42:07 12 ----a-w C:\WINDOWS\bthservsdp.dat 2007-06-18 10:32:32 -------- d-----w C:\Programmi\MP3Gain 2007-06-18 10:17:36 -------- d-----w C:\Programmi\iTunes 2007-06-18 10:16:23 -------- d-----w C:\Programmi\iPod 2007-06-18 10:05:11 -------- d-----w C:\Programmi\Apple Software Update 2007-06-06 15:40:09 -------- d-----w C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\PC Suite 2007-06-06 14:43:03 -------- d--h--w C:\Programmi\InstallShield Installation Information 2007-06-06 14:00:00 69,988 ----a-w C:\WINDOWS\system32\perfc010.dat 2007-06-06 14:00:00 437,882 ----a-w C:\WINDOWS\system32\perfh010.dat 2007-06-06 13:56:14 -------- d-----w C:\Programmi\SlySoft 2007-06-02 17:25:36 -------- d-----w C:\Programmi\Mozilla Thunderbird 2007-05-27 05:24:22 -------- d-----w C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\LimeWire 2007-05-21 17:10:16 -------- d-----w C:\Programmi\LingoDict 2007-05-17 11:09:54 51,568 ----a-w C:\WINDOWS\system32\sirenacm.dll 2007-05-16 15:12:56 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-05-11 19:04:00 -------- d-----w C:\Programmi\Microsoft CAPICOM 2.1.0.2 2007-05-11 16:11:08 -------- d-----w C:\Programmi\File comuni\SWF Studio 2007-05-11 16:10:54 -------- d-----w C:\Programmi\Riva 2007-05-11 12:17:28 -------- d-----w C:\Programmi\LimeWire 2007-04-25 14:21:04 144,896 ----a-w C:\WINDOWS\system32\schannel.dll 2007-04-22 15:26:23 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll 2007-04-22 15:26:23 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll 2007-04-22 15:26:23 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll 2007-04-20 14:47:24 -------- d-----w C:\Programmi\Windows Journal Viewer 2007-04-18 16:14:23 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-01 15:15:00 4,212 ---ha-w C:\WINDOWS\system32\zllictbl.dat 2007-04-01 13:54:05 51,360 ----a-w C:\DOCUME~1\ROBERT~1.NB-\DATIAP~1\GDIPFONTCACHEV1.DAT 2007-03-20 09:37:46 831,048 ----a-w C:\WINDOWS\system32\WudfUpdate_01005.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D}=C:\Programmi\minicliptoolbar\minicliptoolbar.dll [] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22] {8A61098D-612B-4EF2-943D-64E920684061}=C:\WINDOWS\system32\gebyaba.dll [2007-06-09 19:07] {9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-08-31 20:33] {AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programmi\google\googletoolbar3.dll [2007-01-20 00:56] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll [2007-03-31 19:16] {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}=C:\Programmi\Windows Live Toolbar\msntb.dll [2006-09-27 18:45] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="C:\Programmi\File comuni\Real\Update_OB\realsched.exe" [2006-05-13 19:53] "NeroFilterCheck"="C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe" [2006-01-12 17:40] "Google Desktop Search"="C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" [2006-10-29 19:54] "ZoneAlarm Client"="C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02] "QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2007-04-27 09:41] "PCSuiteTrayApplication"="C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 13:20] "iTunesHelper"="C:\Programmi\iTunes\iTunesHelper.exe" [2007-06-01 16:51] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39] "PhonostarAgent"="C:\Programmi\phonostar\ps_agent.exe" [2006-03-07 16:06] "PhonostarTimer"="C:\Programmi\phonostar\ps_timer.exe" [2006-03-07 16:12] "MsnMsgr"="C:\Programmi\Windows Live\Messenger\MsnMsgr.exe" [2007-05-17 13:11] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 11:28] "swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-03-31 19:16] "Update Service"="C:\PROGRA~1\FILECO~1\TEKNUM~1\update.exe" [2007-06-19 08:16] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "Nokia.PCSync"=C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{8A61098D-612B-4EF2-943D-64E920684061}"="C:\WINDOWS\system32\gebyaba.dll" [2007-06-09 19:07] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyaba] gebyaba.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^WinZip Quick Pick.lnk] path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\WinZip Quick Pick.lnk backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs BthServ Contents of the 'Scheduled Tasks' folder 2007-06-04 19:05:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job 2007-06-19 07:52:13 C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-19 09:46:29 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00000001-0000-1000-8000-0002ee000002}] [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001000-0000-1000-8000-00805f9b34fb}] [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001115-0000-1000-8000-00805f9b34fb}] Completion time: 2007-06-19 9:53:18 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-06-19 09:53 --- E O F --- (((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\hgjlm.ini C:\WINDOWS\system32\mljgh.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\msxml3a.dll C:\WINDOWS\system32\sysdm.exe ((((((((((((((((((((((((( Files Created from 2007-05-19 to 2007-06-19 ))))))))))))))))))))))))))))))) ComboFix-quarantined-files: Code:
ATTFilter 2006-02-18 08:24 964096 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\sysdm.exe.vir 2007-02-27 19:36 24576 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\msxml3a.dll.vir 2007-06-09 19:12 263220 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\mljgh.dll.vir 2007-06-19 09:39 14666 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\hgjlm.ini.vir 2007-06-19 09:40 51 --a------ C:\Qoobox\Quarantine\catchme.log Elenco del percorso delle cartelle Numero di serie del volume: BCC0-3E89 C:\QOOBOX \---Quarantine | catchme.log | +---C | \---WINDOWS | \---system32 | hgjlm.ini.vir | mljgh.dll.vir | msxml3a.dll.vir | sysdm.exe.vir | \---Registry_backups nach dem 2. neustart lies ich also einen virenscan durchführen. er meldete eine andere backup datei aber den selben troyaner. diese lies sich aber löschen. kennt jemand vieleicht ein programm mit welchem man auch dateien die in ausführung sind löschen kann und kann mir einer sagen was das dort oben(.txt dateien) zu bedeuten haben? ps:ich hab ein italienisches betriebs system |
19.06.2007, 10:28 | #10 |
| Ebenfalls Trojaner "TR/Agent.33302" jetzt ist der suchlauf beendet und er hat den troyaner wieder gefunden. folgendes ist dabei herausgekommen: Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '33' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Documents and Settings\RobertB.NB-ROBERTB\Desktop\Unbrauchbares\backups\backup-20070619-090936-455.dll [FUND] Ist das Trojanische Pferd TR/Agent.33302 [WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden. [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [INFO] Die Datei wurde gelöscht. C:\WINDOWS\system32\gebyaba.dll [FUND] Ist das Trojanische Pferd TR/Agent.33302 [WARNUNG] Die Datei konnte nicht gelöscht werden! Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Periferica non pronta. Ende des Suchlaufs: 2007-06-19 11:30 Benötigte Zeit: 1:30:10 min Der Suchlauf wurde vollständig durchgeführt. 6656 Verzeichnisse wurden überprüft 294486 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 davon wurden als verdächtig eingestuft 1 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 294484 Dateien ohne Befall 6835 Archive wurden durchsucht 3 Warnungen 0 Hinweise 0 Versteckte Objekte wurden gefunden |
Themen zu Ebenfalls Trojaner "TR/Agent.33302" |
antivir, application, avg, avira, blockiert, browser, cyberlink, dsl, einstellungen, firefox, firefox blockiert, helfen, hijackthis, internet, internet explorer, mein log, monitor, mozilla, mozilla firefox, mozilla thunderbird, mp3, popup, quara, rundll, senden, software, system, trojaner, trojaner eingefangen, virus, vista, windows, windows xp |