Leider auch TR/Agent.33302

nochdigger · 13.06.2007, 19:01

Hallo

Zitat:

Nochmal ein Logfile generieren

Ich bitte darum

Zitat:

Jedoch gab es keine lzfxpand.dll mehr im System32 Ordner.

Hijackthis schafft es oft bei O2 Einträgen den Eintrag und auch die Dateien zu löschen (nicht immer).

Zitat:

Dafür gibts eine lzexpand.dll

bitte hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

Lade dir mal die Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop
3.) starte den Rechner neu
4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, poste den Inhalt dieser Dateien
in nächsten Beitrag
(es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS,
C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp).

MFG

MyHome · 13.06.2007, 23:06

Soooo, hier bitte schön

Wie gewünscht

Logfile of HijackThis v1.99.1
Scan saved at 23:55:17, on 13.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\MyHome\Desktop\ABC.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.rrze.uni-erlangen.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180338919593
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FBFD4CB-6F38-4A63-97A2-BDC7EF7D10C4}: NameServer = 131.188.3.72,131.188.3.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{1FBFD4CB-6F38-4A63-97A2-BDC7EF7D10C4}: NameServer = 131.188.3.72,131.188.3.73
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe

------------------
Virustotal hatte ich zuvor auch schon auf meine vtuutts.dll versucht anzuwenden. Zu dem Zeitpunkt hat er aber immer wieder abgebrochen. Weshalb, das weiß ich nicht. Aber jetzt läuft es ja

- lzexpand.dll -

File size: 9936 bytes
MD5: c7f038338bf55de73b57c1fc7b23671a
SHA1: 725db3242ddc357e3f393db6a95a98776189a587
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=c7f038338bf55de73b57c1fc7b23671a

AhnLab-V3 2007.6.12.2 06.13.2007 no virus found
AntiVir 7.4.0.32 06.13.2007 no virus found
Authentium 4.93.8 06.13.2007 no virus found
Avast 4.7.997.0 06.13.2007 no virus found
AVG 7.5.0.467 06.13.2007 no virus found
BitDefender 7.2 06.13.2007 no virus found
CAT-QuickHeal 9.00 06.13.2007 no virus found
ClamAV devel-20070416 06.13.2007 no virus found
DrWeb 4.33 06.13.2007 no virus found
eSafe 7.0.15.0 06.13.2007 no virus found
eTrust-Vet 30.7.3715 06.13.2007 no virus found
Ewido 4.0 06.13.2007 no virus found
FileAdvisor 1 06.14.2007 No threat detected
Fortinet 2.85.0.0 06.13.2007 no virus found
F-Prot 4.3.2.48 06.13.2007 no virus found
F-Secure 6.70.13030.0 06.13.2007 no virus found
Ikarus T3.1.1.8 06.13.2007 no virus found
Kaspersky 4.0.2.24 06.13.2007 no virus found
McAfee 5052 06.13.2007 no virus found
Microsoft 1.2503 06.13.2007 no virus found
NOD32v2 2328 06.13.2007 no virus found
Norman 5.80.02 06.13.2007 no virus found
Panda 9.0.0.4 06.13.2007 no virus found
Prevx1 V2 06.14.2007 no virus found
Sophos 4.18.0 06.12.2007 no virus found
Sunbelt 2.2.907.0 06.09.2007 no virus found
Symantec 10 06.13.2007 no virus found
TheHacker 6.1.6.132 06.11.2007 no virus found
VBA32 3.12.0.1 06.13.2007 no virus found
VirusBuster 4.3.23:9 06.13.2007 no virus found
Webwasher-Gateway 6.0.1 06.13.2007 no virus found

So wies ausschaut, dürfte es nichts sein!?

--------------------------

Die Filelist.bat-Ergebnisse gibts später. Bin grad am Arbeiten und kann deshalb einen Reboot nicht gebrauchen.

Danke

und Gruß
MyHome

LuLa86 · 13.06.2007, 23:18

Nabend!

listigerweise habe ich mir auch den 33302 eingefangen (benutze Opera). antivir sagt, C:\WINNT\system32\nnnmjii.dll sei befallen.

Da in diesem Forum mehrere Varianten zu Beseitigung des Trojaners vorgeschlagen werden, traue ich mich nicht, einfach den Vundofix drüber zu jagen, ohne wirklich nen Plan von dem Ganzen zu haben

Leider versteh ich auch die Seiten zur Interpretation der HiJack-log nicht, deshalb wollte ich mal die Log hier posten? Einfach hier hinter den letzten Beitrag, oder lieber in nem neuen Thread? Admin?

Herzlichen Dank,
der Lukas

myrtille · 13.06.2007, 23:39

Bitte mit dem Eingangstext nochmal als neues Thema erstellen und dort auch das HJT-Log reinstellen. (Denke bitte auch dran, die aktiven Link und deinen Namen zu editieren. zb www.spiegel.de ->***.spiegel.de)

lg myrtille

MyHome · 14.06.2007, 07:03

So, jetzt gibts auch die fehlenden Einträge:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 9897-334C

Verzeichnis von C:\

14.06.2007 07:55 43 filelist.txt
14.06.2007 07:55 2.145.386.496 pagefile.sys
13.06.2007 18:19 809 VundoFix.txt
28.05.2007 19:41 0 itouch_config_crash_info.txt
28.05.2007 19:40 0 itouch_crash_info.txt
28.05.2007 18:39 389 boot.ini
28.05.2007 10:35 47.564 NTDETECT.COM
28.05.2007 10:35 251.184 ntldr
26.05.2007 13:19 347 RHDSetup.log
26.05.2007 13:19 197 csb.log
26.05.2007 12:57 0 MSDOS.SYS
26.05.2007 12:57 0 CONFIG.SYS
26.05.2007 12:57 0 IO.SYS
26.05.2007 12:57 0 AUTOEXEC.BAT
02.04.2003 14:00 4.952 bootfont.bin
15 Datei(en) 2.145.691.981 Bytes
0 Verzeichnis(se), 45.083.922.432 Bytes frei

mit nur die letzten 30 Tage hoffe ich, habe ich das richtig verstanden

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 9897-334C

Verzeichnis von C:\WINDOWS

14.06.2007 07:55 0 0.log
14.06.2007 07:55 159 wiadebug.log
14.06.2007 07:55 1.534.149 WindowsUpdate.log
14.06.2007 07:55 50 wiaservc.log
14.06.2007 07:55 51 iTouch.ini
14.06.2007 07:55 2.048 bootstat.dat
14.06.2007 07:54 12.878 SchedLgU.Txt
13.06.2007 19:47 240.540 ntbtlog.txt
13.06.2007 10:44 392.130 setupapi.log
11.06.2007 16:17 144.827 iis6.log
11.06.2007 16:17 229.731 comsetup.log
11.06.2007 16:17 139.533 ntdtcsetup.log
11.06.2007 16:17 1.917 imsins.log
11.06.2007 16:17 362.402 tsoc.log
11.06.2007 16:17 476.563 ocgen.log
11.06.2007 16:17 29.622 ocmsn.log
11.06.2007 16:17 46.790 msgsocm.log
11.06.2007 16:17 924.574 FaxSetup.log
11.06.2007 16:16 403 ODBC.INI
11.06.2007 16:16 583 win.ini
06.06.2007 22:35 38 AviSplitter.INI
03.06.2007 21:01 10 WININIT.INI
28.05.2007 22:08 1.454 COM+.log
28.05.2007 19:40 190.122 setupact.log
28.05.2007 18:08 4.696 imsins.BAK
28.05.2007 15:14 0 nsreg.dat
28.05.2007 15:14 2.266 mozver.dat
28.05.2007 11:20 19.360 KB931768-IE7.log
28.05.2007 11:20 90.548 updspapi.log
28.05.2007 11:19 18.846 KB929969.log
28.05.2007 11:17 38.259 spupdsvc.log
28.05.2007 11:16 41.670 KB927891.log
28.05.2007 11:16 46.444 KB931768.log
28.05.2007 11:16 47.517 KB930916.log
28.05.2007 11:16 47.780 KB920213.log
28.05.2007 11:16 54.116 KB890046.log
28.05.2007 11:16 41.554 KB935448.log
28.05.2007 11:15 46.947 KB932168.log
28.05.2007 11:15 25.932 ie7_main.log
28.05.2007 11:15 45.542 ie7.log
28.05.2007 11:15 10.966 IDNMitigationAPIs.log
28.05.2007 11:15 9.742 NLSDownlevelMapping.log
28.05.2007 11:15 1.038.550 setupapi.log.0.old
28.05.2007 11:15 8.590 KB915865.log
28.05.2007 11:14 7.000 KB914440.log
28.05.2007 11:14 16.010 KB904942.log
28.05.2007 11:14 14.734 KB931261.log
28.05.2007 11:14 15.043 KB930178.log
28.05.2007 11:14 16.068 KB931784.log
28.05.2007 11:13 14.967 KB925902.log
28.05.2007 11:13 52.263 WgaNotify.log
28.05.2007 11:08 30.414 KB931836.log
28.05.2007 11:08 19.916 KB926436.log
28.05.2007 11:08 20.126 KB918118.log
28.05.2007 11:08 20.494 KB927779.log
28.05.2007 11:08 15.442 KB924667.log
28.05.2007 11:08 16.689 KB927802.log
28.05.2007 11:08 16.994 KB928843.log
28.05.2007 11:07 16.684 KB928255.log
28.05.2007 11:07 12.520 KB923689.log
28.05.2007 11:07 11.482 KB925398.log
28.05.2007 11:07 15.991 KB923694.log
28.05.2007 11:07 15.452 KB926255.log
28.05.2007 11:07 15.193 KB923980.log
28.05.2007 11:07 15.212 KB924270.log
28.05.2007 11:07 15.237 KB920872.log
28.05.2007 11:07 13.558 KB916595.log
28.05.2007 11:07 9.146 KB922582.log
28.05.2007 11:07 40.966 KB917734.log
28.05.2007 11:07 778 wmsetup.log
28.05.2007 11:06 13.537 KB900485.log
28.05.2007 11:06 37.837 KB904706.log
28.05.2007 11:06 11.664 KB887472.log
28.05.2007 11:06 7.857 KB886185.log
28.05.2007 10:55 1.174 OEWABLog.txt
28.05.2007 10:54 792.939 setuplog.txt
28.05.2007 10:54 360 DtcInstall.log
28.05.2007 10:54 316.640 WMSysPr9.prx
28.05.2007 10:43 435.981 svcpack.log
28.05.2007 10:43 249.475 KB924496.log
28.05.2007 10:43 248.733 KB924191.log
28.05.2007 10:43 246.183 KB923414.log
28.05.2007 10:43 251.373 KB923191.log
28.05.2007 10:43 261.764 KB922819.log
28.05.2007 10:43 242.653 KB922616.log
28.05.2007 10:42 241.795 KB921883.log
28.05.2007 10:42 246.285 KB921398.log
28.05.2007 10:42 241.229 KB920685.log
28.05.2007 10:42 243.471 KB920683.log
28.05.2007 10:42 240.317 KB920670.log
28.05.2007 10:42 241.512 KB919007.log
28.05.2007 10:42 221.027 KB917953.log
28.05.2007 10:42 240.819 KB917422.log
28.05.2007 10:41 221.195 KB917344.log
28.05.2007 10:41 222.913 KB914389.log
28.05.2007 10:41 242.141 KB914388.log
28.05.2007 10:41 223.754 KB913580.log
28.05.2007 10:41 218.208 KB912919.log
28.05.2007 10:41 219.937 KB911927.log
28.05.2007 10:41 220.360 KB911562.log
28.05.2007 10:41 228.105 KB911280.log
28.05.2007 10:40 212.549 KB910437.log
28.05.2007 10:40 224.276 KB908531.log
28.05.2007 10:40 216.913 KB908519.log
28.05.2007 10:40 212.512 KB905749.log
28.05.2007 10:40 211.488 KB905414.log
28.05.2007 10:40 220.543 KB902400.log
28.05.2007 10:40 197.152 KB901214.log
28.05.2007 10:40 208.885 KB901017.log
28.05.2007 10:40 218.754 KB900725.log
28.05.2007 10:39 199.881 KB899591.log
28.05.2007 10:39 200.966 KB899587.log
28.05.2007 10:39 196.834 KB896428.log
28.05.2007 10:39 217.046 KB896424.log
28.05.2007 10:39 201.887 KB896423.log
28.05.2007 10:39 201.212 KB896358.log
28.05.2007 10:39 199.558 KB893756.log
28.05.2007 10:39 191.342 KB891781.log
28.05.2007 10:39 204.634 KB890859.log
28.05.2007 10:38 191.381 KB888302.log
28.05.2007 10:38 190.811 KB885836.log
28.05.2007 10:38 198.906 KB885835.log
28.05.2007 10:38 190.629 KB873339.log
28.05.2007 10:37 200 cmsetacl.log
28.05.2007 10:37 1.330 sessmgr.setup.log
28.05.2007 10:09 54.691 KB925486-IE6SP1-20060918.120000.log
28.05.2007 10:09 56.522 KB918899-IE6SP1-20060725.123917.log
28.05.2007 10:08 33.587 KB914798.log
28.05.2007 10:08 29.658 KB918439-IE6SP1-20060530.145346.log
28.05.2007 10:07 31.017 KB911567-OE6SP1-20060316.165634.log
28.05.2007 10:07 33.230 KB911564.log
28.05.2007 10:07 35.128 KB835409.log
28.05.2007 10:06 30.200 KB905495.log
28.05.2007 10:06 634 xpsp1hfm.log
28.05.2007 10:06 8.279 KB835732.log
28.05.2007 09:58 8.802 WGA.log
28.05.2007 09:58 8.042 KB898461.log
28.05.2007 09:58 10.438 KB893803v2.log
28.05.2007 09:57 5.850 KB842773.log
26.05.2007 19:50 2.492 regopt.log
26.05.2007 19:35 0 Sti_Trace.log
26.05.2007 19:34 231 system.ini
26.05.2007 19:33 0 setuperr.log
26.05.2007 13:24 14.656 gdrv.sys
26.05.2007 13:23 80.859 DirectX.log
26.05.2007 13:18 4.611 KB888111.log
26.05.2007 13:18 67.092 ydi.log
26.05.2007 12:59 8.192 REGLOCS.OLD
26.05.2007 12:57 0 control.ini
26.05.2007 12:57 299.552 WMSysPrx.prx
26.05.2007 12:57 4.161 ODBCINST.INI
26.05.2007 12:57 280 Windows Update.log
26.05.2007 12:57 749 WindowsShell.Manifest
26.05.2007 12:55 36 vb.ini
26.05.2007 12:55 37 vbaddin.ini
14.11.2006 11:21 16.270.848 RTHDCPL.exe

----- System ---
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 9897-334C

Verzeichnis von C:\WINDOWS\system

04.08.2004 09:58 146.944 winspool.drv
04.08.2004 09:37 69.632 mmsystem.dll
02.04.2003 14:00 2.000 KEYBOARD.DRV
02.04.2003 14:00 109.504 AVIFILE.DLL
02.04.2003 14:00 73.760 MCIAVI.DRV
02.04.2003 14:00 25.296 MCISEQ.DRV
02.04.2003 14:00 28.160 MCIWAVE.DRV
02.04.2003 14:00 9.936 LZEXPAND.DLL
02.04.2003 14:00 33.744 COMMDLG.DLL
02.04.2003 14:00 1.152 MMTASK.TSK
02.04.2003 14:00 2.032 MOUSE.DRV
02.04.2003 14:00 127.104 MSVIDEO.DLL
02.04.2003 14:00 82.944 OLECLI.DLL
02.04.2003 14:00 24.064 OLESVR.DLL
02.04.2003 14:00 59.167 setup.inf
02.04.2003 14:00 5.120 SHELL.DLL
02.04.2003 14:00 1.744 SOUND.DRV
02.04.2003 14:00 5.532 stdole.tlb
02.04.2003 14:00 3.360 SYSTEM.DRV
02.04.2003 14:00 19.200 TAPI.DLL
02.04.2003 14:00 4.048 TIMER.DRV
02.04.2003 14:00 9.200 VER.DLL
02.04.2003 14:00 2.176 VGA.DRV
02.04.2003 14:00 13.600 WFWNET.DRV
02.04.2003 14:00 70.368 AVICAP.DLL
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 45.083.910.144 Bytes frei

----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 9897-334C

Verzeichnis von C:\WINDOWS\system32

14.06.2007 07:55 13.646 wpa.dbl
13.06.2007 18:20 931.275 orsrqkmb.ini
13.06.2007 10:43 2.550 Uninstall.ico
13.06.2007 10:43 1.406 Help.ico
13.06.2007 10:43 30.590 pavas.ico
12.06.2007 08:15 275.760 FNTCACHE.DAT
03.06.2007 21:53 552 d3d8caps.dat
03.06.2007 19:33 383.390 perfh009.dat
03.06.2007 19:33 53.744 perfc009.dat
03.06.2007 19:33 394.830 perfh007.dat
03.06.2007 19:33 64.796 perfc007.dat
03.06.2007 19:33 899.884 PerfStringBackup.INI
28.05.2007 18:39 2.278.400 TUKernel.exe
28.05.2007 11:08 122.142 TZLog.log
28.05.2007 10:54 253 spupdwxp.log
28.05.2007 09:54 13.646 wpa.bak
26.05.2007 19:52 0 h323log.txt
26.05.2007 13:20 146.650 BuzzingBee.wav
26.05.2007 13:20 940.794 LoopyMusic.wav
26.05.2007 13:02 25.065 wmpscheme.xml
26.05.2007 12:58 261 $winnt$.inf
26.05.2007 12:57 2.951 CONFIG.NT
26.05.2007 12:57 23.392 nscompat.tlb
26.05.2007 12:57 16.832 amcompat.tlb
26.05.2007 12:57 488 WindowsLogon.manifest
26.05.2007 12:57 488 logonui.exe.manifest
26.05.2007 12:57 749 nwc.cpl.manifest
26.05.2007 12:57 749 cdplayer.exe.manifest
26.05.2007 12:57 749 ncpa.cpl.manifest
26.05.2007 12:57 749 wuaucpl.cpl.manifest
26.05.2007 12:57 749 sapi.cpl.manifest
26.05.2007 12:55 21.740 emptyregdb.dat
27.04.2007 13:45 14.970.328 MRT.exe
18.04.2007 18:13 2.854.400 msi.dll
03.04.2007 16:28 383.488 ieapfltr.dll
03.04.2007 06:36 2.453.952 ieapfltr.dat

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 9897-334C

Verzeichnis von C:\WINDOWS\Prefetch

14.06.2007 07:54 97.738 WINRAR.EXE-3588DFE8.pf
14.06.2007 07:53 22.028 NOTEPAD.EXE-336351A9.pf
14.06.2007 07:53 15.112 CMD.EXE-087B4001.pf
14.06.2007 07:53 11.112 FIND.EXE-0EC32F1E.pf
14.06.2007 07:52 87.966 FIREFOX.EXE-1D57670A.pf
14.06.2007 07:51 92.666 OUTLOOK.EXE-01D49C09.pf
14.06.2007 07:51 69.392 WINAMP.EXE-08C38ED9.pf
14.06.2007 07:51 51.954 MIRANDA32.EXE-248B043D.pf
14.06.2007 07:51 58.150 WUAUCLT.EXE-399A8E72.pf
14.06.2007 07:51 47.134 WMIPRVSE.EXE-28F301A9.pf
14.06.2007 07:45 968.684 NTOSBOOT-B00DFAAD.pf
14.06.2007 00:22 407.862 Layout.ini
13.06.2007 23:55 16.066 ABC.EXE-2D67D6EA.pf
13.06.2007 19:56 26.130 TASKMGR.EXE-20256C55.pf
13.06.2007 19:46 76.442 WINWORD.EXE-0AEA99D4.pf
13.06.2007 19:46 50.864 EXCEL.EXE-0D2E9C6C.pf
13.06.2007 19:43 14.690 REGEDIT.EXE-1B606482.pf
13.06.2007 19:41 49.554 AVGUARD.EXE-3490B18B.pf
13.06.2007 19:40 55.432 AVNOTIFY.EXE-22AE9451.pf
13.06.2007 19:40 40.326 UPDATE.EXE-13D57D76.pf
13.06.2007 19:40 14.214 PREUPD.EXE-358AA1C1.pf
13.06.2007 18:14 25.860 GUARDGUI.EXE-1BD45C30.pf
13.06.2007 18:01 75.632 HELPSVC.EXE-2878DDA2.pf
13.06.2007 17:25 53.840 AVCENTER.EXE-37584419.pf
13.06.2007 17:22 43.914 IEXPLORE.EXE-2CA9778D.pf
13.06.2007 10:44 39.496 RUNONCE.EXE-2803F297.pf
13.06.2007 10:44 19.170 REGSVR32.EXE-25EEFE2F.pf
12.06.2007 20:10 172.468 VLC.EXE-0391A86E.pf
12.06.2007 19:50 89.838 ACROBAT.EXE-02E9AE67.pf
12.06.2007 19:44 19.872 VERCLSID.EXE-3667BD89.pf
11.06.2007 18:52 29.158 ADOBELM_CLEANUP.0001-2A0BE261.pf
11.06.2007 18:51 43.918 ACROBATINFO.EXE-2A2FB9E7.pf
11.06.2007 18:24 57.136 EDGE.EXE-04B7BC62.pf
11.06.2007 16:22 10.158 RUNDLL32.EXE-451FC2C0.pf
11.06.2007 16:20 21.548 EQNEDT32.EXE-2678194F.pf
11.06.2007 16:18 51.778 MSIEXEC.EXE-2F8A8CAE.pf
36 Datei(en) 3.027.302 Bytes
0 Verzeichnis(se), 45.083.815.936 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 9897-334C

Verzeichnis von C:\WINDOWS\tasks

14.06.2007 07:55 6 SA.DAT
28.05.2007 17:48 398 1-Klick-Wartung.job
02.04.2003 14:00 65 desktop.ini
3 Datei(en) 469 Bytes
0 Verzeichnis(se), 45.083.811.840 Bytes frei

----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 9897-334C

Verzeichnis von C:\WINDOWS\Temp

14.06.2007 07:55 409 WGANotify.settings
14.06.2007 07:55 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 45.083.811.840 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 9897-334C

Verzeichnis von C:\DOKUME~1\MyHome\LOKALE~1\Temp

14.06.2007 07:55 1.020 ~ROMFN_000001B4
14.06.2007 07:53 549 filelist.zip
13.06.2007 19:52 21.964 Norwegian.bin
13.06.2007 19:52 22.253 Turkish.bin
13.06.2007 19:52 26.080 Hungarian.bin
13.06.2007 19:52 22.857 Finnish.bin
13.06.2007 19:52 19.553 Hebrew.bin
13.06.2007 19:52 25.071 Portuguese(Brazil).bin
13.06.2007 19:52 24.312 Czech.bin
13.06.2007 19:52 24.221 Polish.bin
13.06.2007 19:52 21.976 Thai.bin
13.06.2007 19:52 25.082 Greek.bin
13.06.2007 19:52 21.914 English.bin
13.06.2007 19:52 16.408 SimChin.bin
13.06.2007 19:52 20.972 Arabic.bin
13.06.2007 19:52 24.082 SWEDISH.bin
13.06.2007 19:52 26.260 Portuguese.bin
13.06.2007 19:52 27.753 Spanish.bin
13.06.2007 19:52 26.126 Russian.bin
13.06.2007 19:52 27.235 French.bin
13.06.2007 19:52 25.753 German.bin
13.06.2007 19:52 27.410 Italian.bin
13.06.2007 19:52 16.949 TradChin.bin
13.06.2007 19:52 25.747 Dutch.bin
13.06.2007 19:52 22.783 Danish.bin
13.06.2007 19:52 24.297 Japanese.bin
13.06.2007 19:52 20.135 Korean.bin
13.06.2007 19:28 16.384 ~DF8944.tmp
28 Datei(en) 605.146 Bytes
0 Verzeichnis(se), 45.083.811.840 Bytes frei

------------
so ich denke, das wars jetzt

nochdigger · 14.06.2007, 09:53

Hallo

dein HijackThis log sieht sauber aus und in der Filelist finde ich nur diese eine Datei :
orsrqkmb.ini
zu der nichts zu finden ist, also bitte im abgesicherten Modus umbenennen und wenn keine Fehler im Betrieb auftauchen dann die Datei löschen.
Ich denke dein System sollte sauber sein, lass AntiVir upgedatet nochmal dein System überprüfen.

MFG

MyHome · 14.06.2007, 17:42

Die Datei habe ich ohne weiteres löschen können und es kam auch keine Fehlermeldung oder sonstiges nach dem Reboot. Jetzt ist sie also weg und Antivir arbeitet. Hoffe mal, dass es jetzt vorbei ist.

Wenns das war, bedanke ich mich ganz herzlich bei dir!

:aplaus:

13.06.2007, 23:39	#19
myrtille /// TB-Ausbilder	Leider auch TR/Agent.33302 Bitte mit dem Eingangstext nochmal als neues Thema erstellen und dort auch das HJT-Log reinstellen. (Denke bitte auch dran, die aktiven Link und deinen Namen zu editieren. zb www.spiegel.de ->***.spiegel.de) lg myrtille

Leider auch TR/Agent.33302

Plagegeister aller Art und deren Bekämpfung: Leider auch TR/Agent.33302