Auch TR/Agent.33302

resa1984 · 11.06.2007, 13:04

Hallo!

Hab auch seit gestern das Problem, dass immer wieder die Meldung vom Antivir auftaucht, dass C:\WINDOWS\system32\opnnnlm.dll
betroffen ist vom Trojaner TR/Agent.33302

Er taucht meistens auf bzw. immer wenn ich ein neues Fenster im Internet aufmach oder dort irgendeine bestimmte Aktion mache (Mails abschicken etc.)

Kann mir bitte wer helfen? Kenn mich leider viel zu wenig aus bei so was :(

Hijack-File:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\SpeedTouch USB\Dragdiag.exe
C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\aon\aonUpdate\aonUpdate.exe
C:\Programme\uTorrent\utorrent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\3M\PSN2Lite\Psn2Lite.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\PROGRA~1\3M\PSN2Lite\PSNGive.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ChelloDesktop] C:\Programme\chello\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] C:\Programme\chello\ChelloMessenger.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [1aonmessagecenter] C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe
O4 - HKLM\..\Run: [McAfee Online Virus Scanner] avp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\lpflyhhg.dll",realset
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe
O4 - HKLM\..\RunServices: [McAfee Online Virus Scanner] avp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000140.exe
O4 - HKCU\..\Run: [qmqu] C:\PROGRA~1\GEMEIN~1\qmqu\qmqum.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [aonUpdate] C:\Programme\aon\aonUpdate\aonUpdate.exe /tray
O4 - HKCU\..\Run: [µTorrent] "C:\Programme\uTorrent\utorrent.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programme\3M\PSN2Lite\Psn2Lite.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144444756780
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp03.photoprintit.de/microsite/defaults/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D64C9915-CE5E-4DD6-8A45-F2FEE8DA0374}: NameServer = 195.34.133.21,195.34.133.22
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VGhlcmVzYQ\command.exe (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Aja, was bedeutet das eigentlich, dass ich den ordner system32 gar nicht unter C:\WINDOWS hab sondern unter C:\I386
Wie gesagt, ich kenn mich da nicht so aus!

LG und Danke

myrtille · 11.06.2007, 13:21

Hi,
du hast den Ordner system32 offensichtlich auch under Windows

:

Zitat:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
...

Der Ordner unter i386 ist meines wissens eine Art Backup von Windows, falls du ne wichtige Windowsdatei löschst besteht die chance, dass du sie von dort wiederherstellen kannst.

Lass bitte mal folgende Dateien bei virustotal
auswerten:

Zitat:

O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000140.exe
O4 - HKCU\..\Run: [qmqu] C:\PROGRA~1\GEMEIN~1\qmqu\qmqum.exe
O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\lpflyhhg.dll",realset
O4 - HKLM\..\Run: [McAfee Online Virus Scanner] avp.exe

Ich fürchte allerdings, dass der letzte Eintrag von folgendem bösewicht stammt, was heißt, dass jemand anderes die Kontrolle über deinen Rechner hat. Diese kann man ihm dann allerdings auch erst wieder entreißen, wenn man den Rechner neuaufsetzt.

Tut mir Leid.

lg myrtille

resa1984 · 11.06.2007, 13:31

AUSETZEN?!? nein, bitte nicht ... maaa

der ordner wird zwar da angezeigt, aber wenn ich unter C:\WINDOWS reingehe seh ich den nicht ... hmmm

aja, und wie genau funktioniert das mit dem virustotal? ich versuch die dateien übern explorer zu finden, find sie aber nicht

myrtille · 11.06.2007, 13:46

Also. Neuaufsetzen ist nicht so schlimm, wie man glaubt.

Das merkt man meist allerdings erst nachdem mans gemacht hat.

Zum Thema virustotal:
Du hast 2 Möglichkeiten: Zum einen kannst du alle
Dateien sichtbar machen und dann erneut versuchen, die Dateien zu finden. (Dann müsstest du auch den system32-ordner sehen können)
Ansonsten kannst du auch einfach mal versuchen die Pfade

Zitat:

C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000140.exe
C:\PROGRA~1\GEMEIN~1\qmqu\qmqum.exe
C:\WINDOWS\system32\lpflyhhg.dll

Die letzte Datei (avp.exe) musst du auf jedenfall suchen, zb mit der Windowssuche, nachdem du die Dateien sichtbar gemacht hast.

lg myrtille

resa1984 · 11.06.2007, 14:54

hmm, dann muss ich mir irgendwo eine externe festplatte besorgen, weil wo soll ich sonst mit meinen ganzen dokumenten hin?
da kann aber dann eh nix passieren wenn ich die runterspeicher und dann nach dem aufsetzen wieder raufspiel, oder?

bezüglich der datein:
ich hab jetzt bei den ordneroptionen eingstellt, dass ich versteckte dateien anzeigen lass, aber ich find die immer noch nicht ... mein gott ist das schlimm wenn man null plan hat

obwohl, wenn ich den pfad C:\WINDOWS\system32 in die adressleiste reinkopier hab ich den ordner schon und auch die datei lpflyhhg.dll, nur bei der windows-suche findet er es nicht. und alle anderen auch nicht - nicht mal wenn ich den pfad reinkopier.

lg und danke

myrtille · 11.06.2007, 17:39

Die Dateien wollen ja auch nicht gefunden werden.

Ich meinte mit dem Pfad reinkopieren, den Pfad bei virustotal ins weiße Fensterchen zu kopieren, hattest du das auch so verstanden? Wenn nicht probier das mal.

lg myrtille

resa1984 · 11.06.2007, 22:06

ahso

hab das jetzt gemacht und es kommt bei den 3 pfaden immer die meldung:

0 bytes size received / Se ha recibido un archivo vacio

Und die avp.exe find ich auch nicht

myrtille · 12.06.2007, 14:47

Dann bleibt wohl nur das neuaufsetzen....
Die Tatsache, dass die Datei sich "versteckt" zeigt eindeutig, dass es sich um Malware handelt und da es sich um Malware handelt, wird es auch der Backdoortrojaner sein den ich zuerst verdächtigt hatte.
Tut mir Leid
lg myrtille

resa1984 · 12.06.2007, 22:19

ok, danke

aber ich kann die dateien die ich drauf hab schon ohne risiko auf zb eine externe festplatte überspielen, oder?

bitte nit nein sagen

myrtille · 12.06.2007, 22:56

Alles was nicht ausführbar ist, ist sozusagen sicher....
Also solang die Endung nicht .exe, .com ist... Steht aber auch alles in der Anleitung.

lg myrtille

11.06.2007, 17:39	#6
myrtille /// TB-Ausbilder	Auch TR/Agent.33302 Die Dateien wollen ja auch nicht gefunden werden. Ich meinte mit dem Pfad reinkopieren, den Pfad bei virustotal ins weiße Fensterchen zu kopieren, hattest du das auch so verstanden? Wenn nicht probier das mal. lg myrtille

12.06.2007, 14:47	#8
myrtille /// TB-Ausbilder	Auch TR/Agent.33302 Dann bleibt wohl nur das neuaufsetzen.... Die Tatsache, dass die Datei sich "versteckt" zeigt eindeutig, dass es sich um Malware handelt und da es sich um Malware handelt, wird es auch der Backdoortrojaner sein den ich zuerst verdächtigt hatte. Tut mir Leid lg myrtille

12.06.2007, 22:56	#10
myrtille /// TB-Ausbilder	Auch TR/Agent.33302 Alles was nicht ausführbar ist, ist sozusagen sicher.... Also solang die Endung nicht .exe, .com ist... Steht aber auch alles in der Anleitung. lg myrtille

Auch TR/Agent.33302

Plagegeister aller Art und deren Bekämpfung: Auch TR/Agent.33302